• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-2634-1 python-django -- несколько уязвимостей

Главная Специалистам База уязвимостей DSA-2634-1 python-django -- несколько уязвимостей

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:N)
Производитель ПО
Наименование ПО
Описание
В Django, высокоуровневой инфраструктуре Python для веб-разработки, были
обнаружены несколько уязвимостей. Проект Common Vulnerabilities and
Exposures определяет следующие проблемы:

CVE-2012-4520
Джеймс Кеттл обнаружил, что Django неправильно фильтрует заголовки HTTP
    Host при обработке определённых запросов. Атакующий может использовать эту уязвимость
    для создания произвольных URL и может заставить части Django, в частности
    механизм сброса пароля, отображать их пользователям.
CVE-2013-0305
Орэндж Тсаи обнаружил, что пакетный административный интерфейс
    Django может раскрывать информацию, которая должна быть скрыта, через журнал
    истории.
CVE-2013-0306
Сотрудники Mozilla обнаружили, что атакующий может использовать отслеживание номеров
    форм в наборе форм Django для осуществления атаки по принципу отказа в обслуживании из-за
    чрезмерного потребления памяти.
CVE-2013-1665
Майкл Козиарски обнаружил, что десериализация XML в Django уязвима
    к расширению сущностей и атаке внешних сущностей/DTD.

В стабильном выпуске (squeeze) эти проблемы были исправлены в
версии 1.2.3-3+squeeze5.
В тестируемом выпуске (wheezy) эти проблемы будут исправлены позже.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.4.4-1.
Рекомендуется обновить пакеты python-django.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
python-django - 1.2.3-3+squeeze5
Ссылки
http://www.debian.org/security/dsa-2634/

Источник: CVE
Наименование: CVE-2013-0306
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0306

Источник: CVE
Наименование: CVE-2013-0305
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0305

Источник: CVE
Наименование: CVE-2013-1665
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1665

Источник: CVE
Наименование: CVE-2012-4520
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4520