Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2758-1 python-django

Säkerhetsbulletin från Debian

DSA-2758-1 python-django -- överbelastning

Rapporterat den:

2013-09-17

Berörda paket:

python-django

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 723043.
I Mitres CVE-förteckning: CVE-2013-1443.

Ytterligare information:

Man har upptäckt att python-django, ett högnivåramverk för Pythonutveckling, är sårbart för överbelastning via stora lösenord.

En icke-autentiserad fjärrangripare kunde montera en överbelastning genom att skicka opålitliga stora lösenord, vilket binder upp resurser i den dyrbara beräkningen av de motsvarande hashsummorna för att verifiera lösenordet.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 1.2.3-3+squeeze8.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.4.5-1+deb7u4.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.5.4-1.

Vi rekommenderar att ni uppgraderar era python-django-paket.