Säkerhetsinformation / 2011 / Säkerhetsinformation -- DSA-2344-1 python-django-piston

Säkerhetsbulletin från Debian

DSA-2344-1 python-django-piston -- deserialiseringssårbarhet

Rapporterat den:

2011-11-11

Berörda paket:

python-django-piston

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 647315.
I Mitres CVE-förteckning: CVE-2011-4103.

Ytterligare information:

Man har upptäckts att ramverket Piston kan deserialisera opålitlig YAML- och Pickledata, vilket leder till körning av fjärrkod (CVE-2011-4103).

Den gamla stabila utgåvan (Lenny) innehåller inte paketet python-django-piston.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 0.2.2-1+squeeze1.

För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid) har detta problem rättats i version 0.2.2-2.

Vi rekommenderar att ni uppgraderar era python-django-piston-paket.