Рекомендация Debian по безопасности
DSA-2740-2 python-django -- межсайтовый скриптинг
- Дата сообщения:
- 23.08.2013
- Затронутые пакеты:
- python-django
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2013-6044.
- Более подробная информация:
-
Ник Брун сообщил о возможной уязвимости, проявляющейся в межсайтовом скриптинге, в python-django, инфраструктуре высокого уровня для веб-разработки на Python.
Функция is_safe_url, используемая для проверки того, что используемый URL находится на текущем узле, чтобы предотвратить потенциальные опасные переходы с помощью специально созданных строк запросов, работает корректно с URL HTTP и HTTPS, но в ней разрешены переходы на другие схемы, такие как javascript:.
Функция is_safe_url была изменена так, чтобы корректно определять и отвергать URL, которые определяют отличную от HTTP или HTTPS схему, что помогает предотвратить атаки по межсайтовому скриптингу через перенаправление на другие схемы.
В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в версии 1.2.3-3+squeeze6.
В стабильном выпуске (wheezy) эта проблема была исправлена в версии 1.4.5-1+deb7u2.
В тестируемом (jessie) и нестабильном (sid) выпусках эта проблема была исправлена в версии 1.5.2-1.
Мы рекомендуем вам обновить ваши пакеты python-django.