Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2740-2 python-django

Debians sikkerhedsbulletin

DSA-2740-2 python-django -- sårbarhed i forbindelse med udførelse af skripter på tværs af servere

Rapporteret den:

23. aug 2013

Berørte pakker:

python-django

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2013-6044.

Yderligere oplysninger:

Nick Brunn opdaterede en mulig sårbarhed i forbindelse med udførelse af skripter på tværs af servere i python-django, et Python-webudviklingsframework på højt niveau.

Værktøjsfunktionen is_safe_url, der anvendes til at validere hvorvidt en benyttet URL er på den aktuelle vært, for at undgå potentielt farlige viderestillinger fra ondsindet fremstillede querystrings, virkede som tilsigtet hvad angår HTTP- og HTTPS-URL'er, men tillod viderestillinger til andre schemes, så som javascript:.

Funktionen is_safe_url er ændret til på korrekt vis at genkende og afvise URL'er, som angiver et scheme andet end HTTP eller HTTPS, for at forhindre angreb i forbindelse med udførelselse af skripter på tværs af webstedet gennem viderestilling til andre schemes.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 1.2.3-3+squeeze6.

I den stabile distribution (wheezy), er dette problem rettet i version 1.4.5-1+deb7u2.

I distributionen testing (jessie) og i den ustabile distribution (sid), er dette problem rettet i version 1.5.2-1.

Vi anbefaler at du opgraderer dine python-django-pakker.