Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2332-1 python-django

Debians sikkerhedsbulletin

DSA-2332-1 python-django -- flere problemer

Rapporteret den:

29. okt 2011

Berørte pakker:

python-django

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 641405.
I Mitres CVE-ordbog: CVE-2011-4136, CVE-2011-4137, CVE-2011-4138, CVE-2011-4139, CVE-2011-4140.

Yderligere oplysninger:

Paul McMillan, Mozilla- og Django-coreholdene opdagede flere sårbarheder i Django, et Python-webframework:

• CVE-2011-4136

  Når der anvendes hukommelsesbaserede sessioner og caching, opbevares Django-sessioner direkte i cachens rootnavnerum. Når brugerdata opbevares i den samme cache, kunne en fjern bruger måske overtage sessionen.

• CVE-2011-4137, CVE-2011-4138

  Djangos felttype URLfield kontrollerer som standard leverede URL'er ved at sende en forespørgsel til dem, som ikke udløber. Et lammelsesangreb (denial of service) var muligt ved at levere særligt forberedte URL'er, som holder forbindelsen åben permanent eller opfylder Djangos serverhukommelse.

• CVE-2011-4139

  Django anvendte X-Forwarded-Host-headere til at kontruere komplette URL'er. Headerne må ikke indeholde inddata, som der er tillid til, og kunne anvendes til at forgifte cachen.

• CVE-2011-4140

  CSRF-beskyttelsesmekanismen i Django håndterede ikke på korrekt vis webserveropsætninger, som understøtter vilkårlige HTTP Host-headere, hvilket gjorde det muligt for fjernangribere at udløse uautoriserede forfalskede forespørgsler.

I den gamle stabile distribution (lenny), er dette problem rettet i version 1.0.2-1+lenny3.

I den stabile distribution (squeeze), er dette problem rettet i version 1.2.3-3+squeeze2.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er dette problem rettet i version 1.3.1-1.

Vi anbefaler at du opgraderer dine python-django-pakker.