Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2344-1 python-django-piston

Debians sikkerhedsbulletin

DSA-2344-1 python-django-piston -- deserialiseringssårbarhed

Rapporteret den:

11. nov 2011

Berørte pakker:

python-django-piston

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 647315.
I Mitres CVE-ordbog: CVE-2011-4103.

Yderligere oplysninger:

Man opdagede at Piston-frameworket kunne deserialisere YAML- og Pickle-data, som der ikke er tillid til, førende til fjernudførelse af kode (CVE-2011-4103).

Den gamle stabile distribution (lenny) indeholder ikke en python-django-piston-pakke.

I den stabile distribution (squeeze), er dette problem rettet i version 0.2.2-1+squeeze1.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er dette problem rettet i version 0.2.2-2.

Vi anbefaler at du opgraderer dine python-django-piston-pakker.