Thông tin về bảo mật / 2015 / Thông tin bảo mật -- DSA-3305-1 python-django

Cố vấn bảo mật Debian

DSA-3305-1 python-django -- cập nhật bảo mật

Ngày báo cáo:

08 Th7 2015

Gói chịu tác động:

python-django

Có thể bị tấn công:

Có

Tham khảo cơ sở dữ liệu bảo mật:

Trong từ điển CVE của Miter: CVE-2015-5143, CVE-2015-5144.

Thêm thông tin:

Nhiều lỗ hổng bảo mật được tìm thấy trong Django, một khung phát triển web Python mức-cao:

• CVE-2015-5143

  Eric Peterson và Lin Hua Cheng khám phá ra rằng một bản ghi mới rỗng được dùng để tạo kho lưu phiên mỗi khi phiên được truy cập và một khóa phiên chưa biết đã được cung cấp trong cookie yêu cầu. Việc này có thể cho phép những kẻ tấn công trên mạng làm bão hòa phần lưu phiên làm việc hoặc dẫn đến các bản ghi phiên của người dùng khác có thể bị khước từ.

• CVE-2015-5144

  Sjoerd Job Postmus đã khám phá ra rằng một số bộ kiểm nhận đã không từ chối các dòng mới từ giá trị đầu vào một cách đúng đắn. Việc này có thể cho phép những kẻ tấn công trên mạng tiêm thêm phần đầu vào các đáp ứng thư hay HTTP.

Với bản phân phối ổn định cũ (wheezy), những lỗi này đã được sửa trong phiên bản 1.4.5-1+deb7u12.

Với bản phân phối ổn định (jessie), những lỗi này đã được sửa trong phiên bản 1.7.7-1+deb8u1.

Với bản phân phối chưa ổn định (sid), những lỗi này sẽ được sửa sớm.

Chúng tôi khuyên bạn nên nâng cấp các gói python-django của mình.