Säkerhetsinformation / 2020 / Säkerhetsinformation -- DSA-4598-1 python-django

Säkerhetsbulletin från Debian

DSA-4598-1 python-django -- säkerhetsuppdatering

Rapporterat den:

2020-01-07

Berörda paket:

python-django

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 946937.
I Mitres CVE-förteckning: CVE-2019-19844.

Ytterligare information:

Simon Charette rapporterade att funktionaliteten för återställning av lösenord i Django, en webutvecklingsramverk för Python på hög nivå, använder en Unicode-förfrågan som är okänslig för stora och små bokstäver för att efterfråga konton som matchar e-postadressen som efterfrågar lösenordsåterställningen. En angripare kan dra fördel av denna brist för att möjligen få lösenordsåterställningstokens och kapa konton.

För ytterligare detaljer, vänligen se https://www.djangoproject.com/weblog/2019/dec/18/security-releases/

För den gamla stabila utgåvan (Stretch) har detta problem rättats i version 1:1.10.7-2+deb9u7.

För den stabila utgåvan (Buster) har detta problem rättats i version 1:1.11.27-1~deb10u1.

Vi rekommenderar att ni uppgraderar era python-django-paket.

För detaljerad säkerhetsstatus om python-django vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/python-django