Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2634-1 python-django

Debians sikkerhedsbulletin

DSA-2634-1 python-django -- flere sårbarheder

Rapporteret den:

27. feb 2013

Berørte pakker:

python-django

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 701186, Fejl 696535, Fejl 691145.
I Mitres CVE-ordbog: CVE-2012-4520, CVE-2013-0305, CVE-2013-0306, CVE-2013-1665.

Yderligere oplysninger:

Flere sårbarheder er opdaget i Django, et Python-webudviklingsframework på højt niveau. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2012-4520

  James Kettle opdagede at Django ikke på korrekt vis filtrerede HTTP Host-headeren under behandling af visse forespørgsler. En angriber kunne udnytte det til at generere og forårsage at dele af Django, særligt mekanismen til nulstilling af adgangskoder, viste vilkårlige URL'er til brugerne.

• CVE-2013-0305

  Orange Tsai opdagede at den medfølgende administrationsbrugerflade i Django kunne udstille oplysninger, der ellers skulle være skjulte, gennem programmellets historiklog.

• CVE-2013-0306

  Mozilla opdagede at en angriber kunne misbruge Djangos sporing af antallet af formularer i et formset til at forårsage et lammelsesangreb (denial of service) på grund af ekstremt hukommelsesforbrug.

• CVE-2013-1665

  Michael Koziarski opdagede at Djangos XML-deserialisation var sårbar over for entity-expansion- og external-entity/DTD-angreb.

I den stabile distribution (squeeze), er disse problemer rettet i version 1.2.3-3+squeeze5.

I distributionen testing (wheezy), vil disse problemer snart blive rettet.

I den ustabile distribution (sid), er disse problemer rettet i version 1.4.4-1.

Vi anbefaler at du opgraderer dine python-django-pakker.