Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3338-1 python-django

Säkerhetsbulletin från Debian

DSA-3338-1 python-django -- säkerhetsuppdatering

Rapporterat den:

2015-08-18

Berörda paket:

python-django

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2015-5963, CVE-2015-5964.

Ytterligare information:

Lin Hua Cheng upptäckte att en session kunde skapas vid anonym åtkomst till django.contrib.auth.views.logout-vyn. Detta kunde tillåta fjärrangripare att mätta sessionslagringsplatsen eller orsaka att andra användares sessionsposter förkastas.

Utöver detta har metoderna contrib.sessions.backends.base.SessionBase.flush() och cache_db.SessionStore.flush() modifierats för att undvika att även dessa skapar en ny tom session.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1.4.5-1+deb7u13.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1.7.7-1+deb8u2.

För den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era python-django-paket.