Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3305-1 python-django

Säkerhetsbulletin från Debian

DSA-3305-1 python-django -- säkerhetsuppdatering

Rapporterat den:

2015-07-08

Berörda paket:

python-django

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2015-5143, CVE-2015-5144.

Ytterligare information:

Flera sårbarheter har upptäckts i Django, ett webbutvecklingsramverk på hög nivå för Python:

• CVE-2015-5143

  Eric Peterson och Lin Hua Cheng upptäckte att en ny tom post skapades i sessionslagringen för varje åtkomst till en session och en okänd sessionsnyckel tillhandahölls i cookien för förfrågan. Detta kunde tillåta fjärrangripare att mätta sessionslagringen eller orsaka andra användares sessionsposter att avvisas.

• CVE-2015-5144

  Sjoerd Job Postmus upptäckte att några inbyggda validerare inte avvisar nyrader ordentligt i indatavärden. Detta kunde tillåta fjärrangripare att injicera headers i e-post och HTTP-svar.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1.4.5-1+deb7u12.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1.7.7-1+deb8u1.

För den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era python-django-paket.