• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-2163-1 python-django -- несколько уязвимостей

Главная Специалистам База уязвимостей DSA-2163-1 python-django -- несколько уязвимостей

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Описание
В Django, фреймворке для разработки веб-приложений, было обнаружено
несколько уязвимостей:

CVE-2011-0696
По нескольким причинам в прошлом, не использовалась внутренняя защита
    от подделки межсайтовых запросов (CSRF protection) для проверки
    AJAX-запросов. Однако, было обнаружено, что это исключение может
    быть использовано в сочетании плагинов для браузера и перенаправлений,
    и поэтому не является достаточным.
CVE-2011-0697
Было обнаружено, что форма отправки файлов подвержена межсайтовому
    скриптингу через имя файла.

Важно заметить, что это обновление вводит небольшую обратную
несовместимость из-за исправления указанных выше проблем.
Смотрите подробности: http://docs.djangoproject.com/en/1.2/releases/1.2.5http://docs.djangoproject.com/en/1.2/releases/1.2.5">http://docs.djangoproject.com/en/1.2/releases/1.2.5 /> и, в частности, раздел Backwards incompatible changes.
Пакеты в прошлом стабильном дистрибутиве (Lenny) не подвержены этим
проблемам.
В стабильном дистрибутиве (Squeeze) эта проблема была исправлена в
версии 1.2.3-3+squeeze1.
В тестируемом дистрибутиве (Wheezy) эта проблема скоро будет исправлена.
В нестабильном дистрибутиве (Sid) эта проблема была исправлена в
версии 1.2.5-1.
Мы рекомендуем вам обновить пакет python-django.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
python-django - 1.2.3-3+squeeze1
Ссылки
http://www.debian.org/security/dsa-2163/

Источник: CVE
Наименование: CVE-2011-0696
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0696

Источник: CVE
Наименование: CVE-2011-0697
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0697