Информация по безопасности / 2013 / Информация о безопасности -- DSA-2634-1 python-django

Рекомендация Debian по безопасности

DSA-2634-1 python-django -- несколько уязвимостей

Дата сообщения:

27.02.2013

Затронутые пакеты:

python-django

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 701186, Ошибка 696535, Ошибка 691145.
В каталоге Mitre CVE: CVE-2012-4520, CVE-2013-0305, CVE-2013-0306, CVE-2013-1665.

Более подробная информация:

В Django, высокоуровневой инфраструктуре Python для веб-разработки, были обнаружены несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2012-4520

  Джеймс Кеттл обнаружил, что Django неправильно фильтрует заголовки HTTP Host при обработке определённых запросов. Атакующий может использовать эту уязвимость для создания произвольных URL и может заставить части Django, в частности механизм сброса пароля, отображать их пользователям.

• CVE-2013-0305

  Орэндж Тсаи обнаружил, что пакетный административный интерфейс Django может раскрывать информацию, которая должна быть скрыта, через журнал истории.

• CVE-2013-0306

  Сотрудники Mozilla обнаружили, что атакующий может использовать отслеживание номеров форм в наборе форм Django для осуществления атаки по принципу отказа в обслуживании из-за чрезмерного потребления памяти.

• CVE-2013-1665

  Майкл Козиарски обнаружил, что десериализация XML в Django уязвима к расширению сущностей и атаке внешних сущностей/DTD.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1.2.3-3+squeeze5.

В тестируемом выпуске (wheezy) эти проблемы будут исправлены позже.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.4.4-1.

Рекомендуется обновить пакеты python-django.