Debian セキュリティ勧告

DSA-2344-1 python-django-piston -- deserialization に関する欠陥

報告日時:

2011-11-11

影響を受けるパッケージ:

python-django-piston

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 647315.
Mitre の CVE 辞書: CVE-2011-4103.

詳細:

Piston フレームワークに、信用できない YAML や Pickle データをデシリアライズできるため、リモートからのコードの実行に繋がるという欠陥が発見されました (CVE-2011-4103) 。

旧安定版 (lenny) には python-django-piston パッケージは収録されていません。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 0.2.2-1+squeeze1 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューションでは、この問題はバージョン 0.2.2-2 で修正されています。

直ぐに python-django-piston パッケージをアップグレードすることを勧めます。