Информация по безопасности / 2015 / Информация о безопасности -- DSA-3151-1 python-django

Рекомендация Debian по безопасности

DSA-3151-1 python-django -- обновление безопасности

Дата сообщения:

03.02.2015

Затронутые пакеты:

python-django

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 775375.
В каталоге Mitre CVE: CVE-2015-0219, CVE-2015-0220, CVE-2015-0221.

Более подробная информация:

В Django, высокоуровневой инфраструктуре веб-разработки для Python, были обнаружены несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2015-0219

  Джедедиа Смит сообщил, что WSGI environ в Django не проводит различие между заголовками, содержащими тире, и заголовками, содержащими подчёркивание. Удалённый злоумышленник может использовать эту уязвимость для подделки заголовков WSGI.

• CVE-2015-0220

  Микко Охтамаа обнаружил, что функция django.util.http.is_safe_url() из Django неправильно обрабатывает пробелы перед переданными пользователем для перенаправления URL. Удалённый злоумышленник потенциально может использовать данную уязвимость для выполнения атаки по принципу межсайтового скриптинга.

• CVE-2015-0221

  Алекс Гайнор сообщил об уязвимости в способе, использующемся в Django для чтения файлов в виде the django.views.static.serve(). Удалённый злоумышленник может использовать эту уязвимость для вызова отказа в обслуживании через чрезмерное потребление доступных ресурсов.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.4.5-1+deb7u9.

В готовящемся стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.7.1-1.1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.7.1-1.1.

Рекомендуется обновить пакеты python-django.