Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2758-1 python-django

Debians sikkerhedsbulletin

DSA-2758-1 python-django -- lammelsesangreb

Rapporteret den:

17. sep 2013

Berørte pakker:

python-django

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 723043.
I Mitres CVE-ordbog: CVE-2013-1443.

Yderligere oplysninger:

Man opdagede at python-django, et højniveauwebudviklingsframework, var sårbart over for en lammelsesangrebssårbarhed (denial of service) via store adgangskoder.

En ikke-autentificeret fjernangriber kunne iværksætte et lammelsesangreb ved at indsende adgangskoder med vilkårlig længde, og dermed bruge serverressourcer i den dyre beregning af de tilsvarende hashes, til kontrol af adgangskoden.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 1.2.3-3+squeeze8.

I den stabile distribution (wheezy), er dette problem rettet i version 1.4.5-1+deb7u4.

I den ustabile distribution (sid), er dette problem rettet i version 1.5.4-1.

Vi anbefaler at du opgraderer dine python-django-pakker.