Sikkerhedsoplysninger / 2020 / Sikkerhedsoplysninger -- DSA-4598-1 python-django

Debians sikkerhedsbulletin

DSA-4598-1 python-django -- sikkerhedsopdatering

Rapporteret den:

7. jan 2020

Berørte pakker:

python-django

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 946937.
I Mitres CVE-ordbog: CVE-2019-19844.

Yderligere oplysninger:

Simon Charette rapporterede at funktionaliteten til nulstilling af adgangskoder i Django, et Python-webudviklingsframework på højt niveau, anvendte en Unicode-baseret forspørgsel uden hensyntagen til små og store bogstaver, til at hente konti der modsvarer mailadressen, som beder om at få nulstillet adgangskoden. En angriber kunne udnytte fejlen til potentielt at hente tokens til nulstilling af adgangskoder og til at kapre konti.

For flere oplysninger, se https://www.djangoproject.com/weblog/2019/dec/18/security-releases/.

I den gamle stabile distribution (stretch), er dette problem rettet i version 1:1.10.7-2+deb9u7.

I den stabile distribution (buster), er dette problem rettet i version 1:1.11.27-1~deb10u1.

Vi anbefaler at du opgraderer dine python-django-pakker.

For detaljeret sikkerhedsstatus vedrørende python-django, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/python-django