Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3544-1 python-django

Debians sikkerhedsbulletin

DSA-3544-1 python-django -- sikkerhedsopdatering

Rapporteret den:

7. apr 2016

Berørte pakker:

python-django

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 816434.
I Mitres CVE-ordbog: CVE-2016-2512, CVE-2016-2513.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i Django, et webudviklingsframework på højt niveau til Python. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2016-2512

  Mark Striemer opdagede at nogle brugerleverede viderestillings-URL'er indeholdende grundlæggende autentificeringsoplysninger, på håndteret på ukorrekt vis, potentielt gørende det muligt for en fjernangriber at iværksætte en ondsindet viderestilling eller udførelse af skripter på tværs af websteder.

• CVE-2016-2513

  Sjoerd Job Postmus opdagede at Django tillod brugerenumeration gennem timingforskelle på password hasher work factor-opgraderinger.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 1.4.5-1+deb7u16.

I den stabile distribution (jessie), er disse problemer rettet i version 1.7.7-1+deb8u4.

I distributionen testing (stretch), er disse problemer rettet i version 1.9.4-1.

I den ustabile distribution (sid), er disse problemer rettet i version 1.9.4-1.

Vi anbefaler at du opgraderer dine python-django-pakker.