Sikkerhedsoplysninger / 2017 / Sikkerhedsoplysninger -- DSA-3835-1 python-django

Debians sikkerhedsbulletin

DSA-3835-1 python-django -- sikkerhedsopdatering

Rapporteret den:

26. apr 2017

Berørte pakker:

python-django

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 842856, Fejl 859515, Fejl 859516.
I Mitres CVE-ordbog: CVE-2016-9013, CVE-2016-9014, CVE-2017-7233, CVE-2017-7234.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i Django, et webudviklingsframework til Python på højt niveau. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2016-9013

  Marti Raudsepp rapporterede at en bruger med en hårdkodet adgangskode, blev oprettet når der blev afviklet tests med en Oracle-database.

• CVE-2016-9014

  Aymeric Augustin opdagede at Django ikke på korrekt vis validerede Host-headeren mod settings.ALLOWED_HOSTS, når debugindstillingen er aktiveret. En fjernangriber kunne drage nytte af fejlen til at iværksætte DNS-rebinding-angreb.

• CVE-2017-7233

  Man opdagede at is_safe_url() ikke på korrekt vis håndterede visse numeriske URL'er som sikre. En fjernangriber kunne drage nytte af fejlen til at iværksætte XSS-angreb eller til at anvende en Django-server som en åben viderestilling.

• CVE-2017-7234

  Phithon fra Chaitin Tech opdagede en åben viderestilling-sårbarhed i view'et django.views.static.serve(). Bemærk at dette view ikke er beregnet til anvendelse i produktion.

I den stabile distribution (jessie), er disse problemer rettet i version 1.7.11-1+deb8u2.

Vi anbefaler at du opgraderer dine python-django-pakker.