Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3338-1 python-django

Debians sikkerhedsbulletin

DSA-3338-1 python-django -- sikkerhedsopdatering

Rapporteret den:

18. aug 2015

Berørte pakker:

python-django

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2015-5963, CVE-2015-5964.

Yderligere oplysninger:

Lin Hua Cheng opdagede at en session kunne blive oprettet, når view'et django.contrib.auth.views.logout blev tilgået anonymt. Dermed kunne det være muligt for fjernangribere at opbruge sessionslageret eller forårsage, at andre brugeres sessionsposter blev smidt væk.

Desuden er metoderne contrib.sessions.backends.base.SessionBase.flush() og cache_db.SessionStore.flush() blevet ændret til også at undgå, at oprette en ny, tom session.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 1.4.5-1+deb7u13.

I den stabile distribution (jessie), er disse problemer rettet i version 1.7.7-1+deb8u2.

I den ustabile distribution (sid), these problems will be fixed shortly.

Vi anbefaler at du opgraderer dine python-django-pakker.