Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2740-2 python-django

Säkerhetsbulletin från Debian

DSA-2740-2 python-django -- serveröverskridande skriptsårbarhet

Rapporterat den:

2013-08-23

Berörda paket:

python-django

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2013-6044.

Ytterligare information:

Nick Brunn rapporterade en möjligen serveröverskridande skriptsårbarhet i python-django, ett högnivåramverk för webbutveckling i Python.

Verktygsfunktionen is_safe_url som används för att validera att en använd URL är på den nuvarande värden för att undvika potentiellt farliga omdirigeringar från illasinnat konstruerade förfrågningssträngar, fungerade som tänkt för HTTP och HTTPS-URLer, men tillät omdirigeringar till andra scheman, som javascript:.

Funktionen is_safe_url har blivit modifierad för att korrekt känna igen och avvisa URLer som specificerar ett schema som inte är HTTP eller HTTPS, för att förhindra serveröverskridande skriptangrepp genom att omdirigera till andra system.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 1.2.3-3+squeeze6.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.4.5-1+deb7u2.

För uttestningsutgåvan (Jessie) och den instabila utgåvan (Sid) har detta problem rättats i version 1.5.2-1.

Vi rekommenderar att ni uppgraderar era python-django-paket.