Информация по безопасности / 2016 / Информация о безопасности -- DSA-3544-1 python-django

Рекомендация Debian по безопасности

DSA-3544-1 python-django -- обновление безопасности

Дата сообщения:

07.04.2016

Затронутые пакеты:

python-django

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 816434.
В каталоге Mitre CVE: CVE-2016-2512, CVE-2016-2513.

Более подробная информация:

В Django, высокоуровневой инфраструктуре для веб-разработки на Python, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2016-2512

  Марк Шример обнаружил, что некоторые передаваемые пользователем перенаправления URL, содержащие данные для аутентификации, обрабатываются некорректно, что потенциально позволяет удалённому злоумышленнику выполнять преднамеренные перенаправления или осуществлять атаки по принципу межсайтового скриптинга.

• CVE-2016-2513

  Съёрд Постмус обнаружил, что Django позволяет последовательно перебирать пользователей через различия во временных затратах при обновлении коэффициента хэширующей пароль функции.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.4.5-1+deb7u16.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.7.7-1+deb8u4.

В тестируемом выпуске (stretch) эти проблемы были исправлены в версии 1.9.4-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.9.4-1.

Рекомендуется обновить пакеты python-django.