セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2634-1 python-django

Debian セキュリティ勧告

DSA-2634-1 python-django -- 複数の脆弱性

報告日時:

2013-02-27

影響を受けるパッケージ:

python-django

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 701186, バグ 696535, バグ 691145.
Mitre の CVE 辞書: CVE-2012-4520, CVE-2013-0305, CVE-2013-0306, CVE-2013-1665.

詳細:

複数の欠陥が高レベル Python ウェブ開発基盤 Django に発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

• CVE-2012-4520

  James Kettle さんが、特定のリクエストを処理する際、Django が HTTP Host ヘッダを適切にフィルタしていないことを発見しました。攻撃者がこれを悪用し、Django の構成部品、特にパスワードリセット機構を生成して任意の URL をユーザに見せることが可能です。

• CVE-2013-0305

  Orange Tsai さんが、組み込まれている Django の管理インターフェイスが、 履歴を経由して非公開と想定される情報を暴露する可能性を発見しました。

• CVE-2013-0306

  Mozilla が、Django のフォームセット内のフォーム数の追跡方法を攻撃者が悪用し、 極端なメモリ消費によるサービス拒否攻撃を引き起こすことが可能であることを発見しました。

• CVE-2013-1665

  Michael Koziarski さんが、Django の XML 非直列化は エンティティ展開および外部エンティティ/DTD 攻撃に対して脆弱であることを発見しました。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 1.2.3-3+squeeze5 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題は近く修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.4.4-1 で修正されています。

直ちに python-django パッケージをアップグレードすることを勧めます。