Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2634-1 python-django

Säkerhetsbulletin från Debian

DSA-2634-1 python-django -- flera sårbarheter

Rapporterat den:

2013-02-27

Berörda paket:

python-django

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 701186, Fel 696535, Fel 691145.
I Mitres CVE-förteckning: CVE-2012-4520, CVE-2013-0305, CVE-2013-0306, CVE-2013-1665.

Ytterligare information:

Flera sårbarheter har upptäckts i Django, ett högnivå webbutvecklingsramverk för Python. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2012-4520

  James Kettle upptäckte att Django inte korrekt filtrerade HTTP Host-huvudet vid behandling av vissa efterfrågningar. En attackerare kunde utnyttja detta till att generera och orsaka att delar av Django, speciellt mekanismen password-reset, att visa godtyckliga URLer till användare.

• CVE-2013-0305

  Orange Tsai upptäckte att det medföljande administrativa användargränssnittet till Django kunde visa upplysningar, som annars skulle vara dolda, genom programmets historik.

• CVE-2013-0306

  Mozilla upptäckte att en angripare kunde missbruka Djangos spårning av antalet formulär i en forumuläruppsättning för att skapa en överbelastningsattack orsakad av extrem minnesanvändning.

• CVE-2013-1665

  Michael Koziarski upptäckte att Djangos XML-deserialisering är sårbar för entity-expansion och external-entity/DTD-angrepp.

För den stabila utgåvan (squeeze) har dessa problem rättats i version 1.2.3-3+squeeze5.

För uttestningsutgåvan (wheezy) kommer dessa problem att rättas inom kort.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.4.4-1.

Vi rekommenderar att ni uppgraderar era python-django-paket.