Debians sikkerhedsbulletin
DSA-2740-2 python-django -- sårbarhed i forbindelse med udførelse af skripter på tværs af servere
- Rapporteret den:
- 23. aug 2013
- Berørte pakker:
- python-django
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2013-6044.
- Yderligere oplysninger:
-
Nick Brunn opdaterede en mulig sårbarhed i forbindelse med udførelse af skripter på tværs af servere i python-django, et Python-webudviklingsframework på højt niveau.
Værktøjsfunktionen is_safe_url, der anvendes til at validere hvorvidt en benyttet URL er på den aktuelle vært, for at undgå potentielt farlige viderestillinger fra ondsindet fremstillede querystrings, virkede som tilsigtet hvad angår HTTP- og HTTPS-URL'er, men tillod viderestillinger til andre schemes, så som javascript:.
Funktionen is_safe_url er ændret til på korrekt vis at genkende og afvise URL'er, som angiver et scheme andet end HTTP eller HTTPS, for at forhindre angreb i forbindelse med udførelselse af skripter på tværs af webstedet gennem viderestilling til andre schemes.
I den gamle stabile distribution (squeeze), er dette problem rettet i version 1.2.3-3+squeeze6.
I den stabile distribution (wheezy), er dette problem rettet i version 1.4.5-1+deb7u2.
I distributionen testing (jessie) og i den ustabile distribution (sid), er dette problem rettet i version 1.5.2-1.
Vi anbefaler at du opgraderer dine python-django-pakker.