Рекомендация Debian по безопасности
DSA-3151-1 python-django -- обновление безопасности
- Дата сообщения:
- 03.02.2015
- Затронутые пакеты:
- python-django
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 775375.
В каталоге Mitre CVE: CVE-2015-0219, CVE-2015-0220, CVE-2015-0221. - Более подробная информация:
-
В Django, высокоуровневой инфраструктуре веб-разработки для Python, были обнаружены несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2015-0219
Джедедиа Смит сообщил, что WSGI environ в Django не проводит различие между заголовками, содержащими тире, и заголовками, содержащими подчёркивание. Удалённый злоумышленник может использовать эту уязвимость для подделки заголовков WSGI.
- CVE-2015-0220
Микко Охтамаа обнаружил, что функция django.util.http.is_safe_url() из Django неправильно обрабатывает пробелы перед переданными пользователем для перенаправления URL. Удалённый злоумышленник потенциально может использовать данную уязвимость для выполнения атаки по принципу межсайтового скриптинга.
- CVE-2015-0221
Алекс Гайнор сообщил об уязвимости в способе, использующемся в Django для чтения файлов в виде the django.views.static.serve(). Удалённый злоумышленник может использовать эту уязвимость для вызова отказа в обслуживании через чрезмерное потребление доступных ресурсов.
В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.4.5-1+deb7u9.
В готовящемся стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.7.1-1.1.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.7.1-1.1.
Рекомендуется обновить пакеты python-django.
- CVE-2015-0219