Рекомендация Debian по безопасности

DSA-3151-1 python-django -- обновление безопасности

Дата сообщения:
03.02.2015
Затронутые пакеты:
python-django
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 775375.
В каталоге Mitre CVE: CVE-2015-0219, CVE-2015-0220, CVE-2015-0221.
Более подробная информация:

В Django, высокоуровневой инфраструктуре веб-разработки для Python, были обнаружены несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2015-0219

    Джедедиа Смит сообщил, что WSGI environ в Django не проводит различие между заголовками, содержащими тире, и заголовками, содержащими подчёркивание. Удалённый злоумышленник может использовать эту уязвимость для подделки заголовков WSGI.

  • CVE-2015-0220

    Микко Охтамаа обнаружил, что функция django.util.http.is_safe_url() из Django неправильно обрабатывает пробелы перед переданными пользователем для перенаправления URL. Удалённый злоумышленник потенциально может использовать данную уязвимость для выполнения атаки по принципу межсайтового скриптинга.

  • CVE-2015-0221

    Алекс Гайнор сообщил об уязвимости в способе, использующемся в Django для чтения файлов в виде the django.views.static.serve(). Удалённый злоумышленник может использовать эту уязвимость для вызова отказа в обслуживании через чрезмерное потребление доступных ресурсов.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.4.5-1+deb7u9.

В готовящемся стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.7.1-1.1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.7.1-1.1.

Рекомендуется обновить пакеты python-django.