Информация по безопасности / 2017 / Информация о безопасности -- DSA-3835-1 python-django

Рекомендация Debian по безопасности

DSA-3835-1 python-django -- обновление безопасности

Дата сообщения:

26.04.2017

Затронутые пакеты:

python-django

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 842856, Ошибка 859515, Ошибка 859516.
В каталоге Mitre CVE: CVE-2016-9013, CVE-2016-9014, CVE-2017-7233, CVE-2017-7234.

Более подробная информация:

В Django, инфраструктуре веб-разработки на Python высокого уровня, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2016-9013

  Марти Раудсеп сообщил, что при запуске тестов с базой данных Oracle создаётся пользователь с предустановленным паролем.

• CVE-2016-9014

  Аймерик Огастин обнаружил, что Django неправильно выполняет проверку заголовка Host на соответствие settings.ALLOWED_HOSTS в случае, если включена отладка. Удалённый злоумышленник может использовать эту уязвимость для выполнения атак по изменению привязки DNS.

• CVE-2017-7233

  Было обнаружено, что is_safe_url() неправильно обрабатывает определённые цифровые URL как безопасные. Удалённый злоумышленник может использовать эту уязвимость для выполнения XSS-атак или использования сервера Django в качестве открытого перенаправления.

• CVE-2017-7234

  Phithon из Chaitin Tech обнаружил уязвимость открытого перенаправления в виде django.views.static.serve(). Заметьте, что этот вид не предназначен для промышленного использования.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.7.11-1+deb8u2.

Рекомендуется обновить пакеты python-django.