セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2332-1 python-django

Debian セキュリティ勧告

DSA-2332-1 python-django -- 複数の問題

報告日時:

2011-10-29

影響を受けるパッケージ:

python-django

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 641405.
Mitre の CVE 辞書: CVE-2011-4136, CVE-2011-4137, CVE-2011-4138, CVE-2011-4139, CVE-2011-4140.

詳細:

Paul McMillan さん、および Mozilla と the Django core team の方々により、Python ウェ ブフレームワーク Django に複数の欠陥が発見されました。

• CVE-2011-4136

  メモリベースのセッションとキャッシングを用いる場合、Django セッショ ンはキャッシュのルート名前空間の中に直接保存されます。ユーザデータ が同じキャッシュを使うようになっている場合、リモートユーザからのセ ッションの奪取が可能です。

• CVE-2011-4137, CVE-2011-4138

  Django のフィールドタイプ URL は、標準設定では与えられた URL にアク セスを行い、それがタイムアウトしないというチェックを行っています。 コネクションを無限に開き続けるような細工した URL を用いてサービス拒 否攻撃や、Django サーバのメモリを埋め尽くす攻撃が可能です

• CVE-2011-4139

  Django は URL 全体を作成する際に、X-Forwarded-Host ヘッダを用いてい ます。このヘッダには信用できない入力が含まれる可能性があり、キャッ シュの汚染に悪用可能です。

• CVE-2011-4140

  Django の CSRF 保護メカニズムが、任意の HTTP ホストヘッダをサポート するウェブサーバ設定を適切に扱うことができず、リモートの攻撃者によ る認証を経ないリクエストの詐称が可能です。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は バージョン 1.0.2-1+lenny3 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 1.2.3-3+squeeze2 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューション では、この問題はバージョン 1.3.1-1 で修正されています。

直ぐに python-django パッケージをアップグレードすることを勧めます。