Информация по безопасности / 2011 / Информация о безопасности -- DSA-2332-1 python-django

Рекомендация Debian по безопасности

DSA-2332-1 python-django -- несколько проблем

Дата сообщения:

29.10.2011

Затронутые пакеты:

python-django

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 641405.
В каталоге Mitre CVE: CVE-2011-4136, CVE-2011-4137, CVE-2011-4138, CVE-2011-4139, CVE-2011-4140.

Более подробная информация:

Пол Макмиллан, сотрудники Mozilla и участники основной команды Django обнаружили несколько уязвимостей в Django, веб-инфраструктуре для языка Python:

• CVE-2011-4136

  При использовании сессий и кэша на основе памяти сессии Django хранятся прямо в корневом пространстве имён кэша. Если пользовательские данные хранятся в том же кэше, то удалённый пользователь может перехватить сессию.

• CVE-2011-4137, CVE-2011-4138

  По умолчанию тип поля URLfield в Django выполняет проверку переданного URL путём отправки запроса, для которого не установлен таймер. При передаче специально сформированного URL можно вызвать отказ в обслуживании, соединение будет оставаться открытым неопределённо долго, либо будет заполнена память сервера Django.

• CVE-2011-4139

  Django использует заголовки X-Forwarded-Host для создания полных URL. Этот заголовок может не содержать доверенные входные данные и может использоваться для отравления кэша.

• CVE-2011-4140

  Механизм защиты CSRF в Django неправильно обрабатывает настройки веб-сервера, поддерживающие произвольные HTTP-заголовки Host, что позволяет удалённым злоумышленникам осуществлять неаутентифицированные специально сформированные запросы.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 1.0.2-1+lenny3.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 1.2.3-3+squeeze2.

В тестируемом (wheezy) и нестабильном (sid) выпусках эта проблема была исправлена в версии 1.3.1-1.

Рекомендуется обновить пакеты python-django.