Säkerhetsinformation / 2017 / Säkerhetsinformation -- DSA-3835-1 python-django

Säkerhetsbulletin från Debian

DSA-3835-1 python-django -- säkerhetsuppdatering

Rapporterat den:

2017-04-26

Berörda paket:

python-django

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 842856, Fel 859515, Fel 859516.
I Mitres CVE-förteckning: CVE-2016-9013, CVE-2016-9014, CVE-2017-7233, CVE-2017-7234.

Ytterligare information:

Flera sårbarheter har upptäckts i Django, ett högnivå webbutvecklingsramverk för Python. Projektet Common Vulnerabilities and Exposures project identifierar följande problem:

• CVE-2016-9013

  Marti Raudsepp rapporterade att en användare med ett hårdkodat lösenord skapas vi körning av tester med en Oracle-databas.

• CVE-2016-9014

  Aymeric Augustin upptäckte att Django inte validerar Host header ordentligt mot settings.ALLOWED_HOSTS när debug-alternativet är aktiverat. En fjärrangripare kan dra fördel av denna brist för att utföra DNS-ombindningsangrepp.

• CVE-2017-7233

  Man har upptäckt att is_safe_url() inte hanterar vissa numeriska URLer som säkra. En fjärrangripare kan dra fördel av denna brist för att utföra XSS-angrepp eller använda en Django-server som en öppen redirect.

• CVE-2017-7234

  Phithon från Chaitin Tech upptäckte en öppen redirect-sårbarhet i django.view.static.serve()-vyn. Notera att denna vy inte är tänkt för produktionsanvändning.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1.7.11-1+deb8u2.

Vi rekommenderar att ni uppgraderar era python-django-paket.