Säkerhetsbulletin från Debian
DSA-1905-1 python-django -- otillräcklig kontroll av indata
- Rapporterat den:
- 2009-10-10
- Berörda paket:
- python-django
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 550457.
- Ytterligare information:
-
Formulärbiblioteket i python-django, ett högnivåramverk för webbutveckling i Python, använder ett dåligt valt reguljärt uttryck vid validering av e-postadresser och URL:er. En angripare kan använda detta för att utföra överbelastningsangrepp (100% CPU-förbrukning) på grund av dålig tillbakaspårning med hjälp av en specialskriven e-postadress eller URL som valideras av biblioteket django forms.
python-django i den gamla stabila utgåvan (Etch) påverkas inte av detta problem.
För den stabila utgåvan (Lenny) har detta problem rättats i version 1.0.2-1+lenny2.
För uttestningsutgåvan (Squeeze) kommer detta problem att rättas inom kort.
För den instabila utgåvan (Sid) har detta problem rättats i version 1.1.1-1.
Vi rekommenderar att ni uppgraderar era python-django-paket.
- Rättat i:
-
Debian GNU/Linux 5.0 (lenny)
- Källkod:
- http://security.debian.org/pool/updates/main/p/python-django/python-django_1.0.2-1+lenny2.dsc
- http://security.debian.org/pool/updates/main/p/python-django/python-django_1.0.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/python-django/python-django_1.0.2-1+lenny2.diff.gz
- http://security.debian.org/pool/updates/main/p/python-django/python-django_1.0.2.orig.tar.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/p/python-django/python-django_1.0.2-1+lenny2_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.