Информация по безопасности / 2011 / Информация о безопасности -- DSA-2163-1 python-django

Рекомендация Debian по безопасности

DSA-2163-1 python-django -- несколько уязвимостей

Дата сообщения:

14.02.2011

Затронутые пакеты:

python-django

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2011-0696, CVE-2011-0697.

Более подробная информация:

В Django, фреймворке для разработки веб-приложений, было обнаружено несколько уязвимостей:

• CVE-2011-0696

  По нескольким причинам в прошлом, не использовалась внутренняя защита от подделки межсайтовых запросов (CSRF protection) для проверки AJAX-запросов. Однако, было обнаружено, что это исключение может быть использовано в сочетании плагинов для браузера и перенаправлений, и поэтому не является достаточным.

• CVE-2011-0697

  Было обнаружено, что форма отправки файлов подвержена межсайтовому скриптингу через имя файла.

Важно заметить, что это обновление вводит небольшую обратную несовместимость из-за исправления указанных выше проблем. Смотрите подробности: http://docs.djangoproject.com/en/1.2/releases/1.2.5 и, в частности, раздел Backwards incompatible changes.

Пакеты в прошлом стабильном дистрибутиве (Lenny) не подвержены этим проблемам.

В стабильном дистрибутиве (Squeeze) эта проблема была исправлена в версии 1.2.3-3+squeeze1.

В тестируемом дистрибутиве (Wheezy) эта проблема скоро будет исправлена.

В нестабильном дистрибутиве (Sid) эта проблема была исправлена в версии 1.2.5-1.

Мы рекомендуем вам обновить пакет python-django.