Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
python-django
(any)
Описание
В Django, фреймворке для разработки веб-приложений, было обнаружено
несколько уязвимостей:
CVE-2011-0696
По нескольким причинам в прошлом, не использовалась внутренняя защита
от подделки межсайтовых запросов (CSRF protection) для проверки
AJAX-запросов. Однако, было обнаружено, что это исключение может
быть использовано в сочетании плагинов для браузера и перенаправлений,
и поэтому не является достаточным.
CVE-2011-0697
Было обнаружено, что форма отправки файлов подвержена межсайтовому
скриптингу через имя файла.
Важно заметить, что это обновление вводит небольшую обратную
несовместимость из-за исправления указанных выше проблем.
Смотрите подробности: http://docs.djangoproject.com/en/1.2/releases/1.2.5
http://docs.djangoproject.com/en/1.2/releases/1.2.5">http://docs.djangoproject.com/en/1.2/releases/1.2.5
/> и, в частности, раздел Backwards incompatible changes.
Пакеты в прошлом стабильном дистрибутиве (Lenny) не подвержены этим
проблемам.
В стабильном дистрибутиве (Squeeze) эта проблема была исправлена в
версии 1.2.3-3+squeeze1.
В тестируемом дистрибутиве (Wheezy) эта проблема скоро будет исправлена.
В нестабильном дистрибутиве (Sid) эта проблема была исправлена в
версии 1.2.5-1.
Мы рекомендуем вам обновить пакет python-django.
несколько уязвимостей:
CVE-2011-0696
По нескольким причинам в прошлом, не использовалась внутренняя защита
от подделки межсайтовых запросов (CSRF protection) для проверки
AJAX-запросов. Однако, было обнаружено, что это исключение может
быть использовано в сочетании плагинов для браузера и перенаправлений,
и поэтому не является достаточным.
CVE-2011-0697
Было обнаружено, что форма отправки файлов подвержена межсайтовому
скриптингу через имя файла.
Важно заметить, что это обновление вводит небольшую обратную
несовместимость из-за исправления указанных выше проблем.
Смотрите подробности: http://docs.djangoproject.com/en/1.2/releases/1.2.5
http://docs.djangoproject.com/en/1.2/releases/1.2.5">http://docs.djangoproject.com/en/1.2/releases/1.2.5
/> и, в частности, раздел Backwards incompatible changes.
Пакеты в прошлом стабильном дистрибутиве (Lenny) не подвержены этим
проблемам.
В стабильном дистрибутиве (Squeeze) эта проблема была исправлена в
версии 1.2.3-3+squeeze1.
В тестируемом дистрибутиве (Wheezy) эта проблема скоро будет исправлена.
В нестабильном дистрибутиве (Sid) эта проблема была исправлена в
версии 1.2.5-1.
Мы рекомендуем вам обновить пакет python-django.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
python-django - 1.2.3-3+squeeze1
Debian GNU/Linux 6:
noarch:
python-django - 1.2.3-3+squeeze1
Ссылки
http://www.debian.org/security/dsa-2163/
Источник: CVE
Наименование: CVE-2011-0696
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0696
Источник: CVE
Наименование: CVE-2011-0697
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0697
Источник: CVE
Наименование: CVE-2011-0696
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0696
Источник: CVE
Наименование: CVE-2011-0697
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0697