Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:N)
Производитель ПО
Наименование ПО
python-django
(any)
Описание
В Django, высокоуровневой инфраструктуре Python для веб-разработки, были
обнаружены несколько уязвимостей. Проект Common Vulnerabilities and
Exposures определяет следующие проблемы:
CVE-2012-4520
Джеймс Кеттл обнаружил, что Django неправильно фильтрует заголовки HTTP
Host при обработке определённых запросов. Атакующий может использовать эту уязвимость
для создания произвольных URL и может заставить части Django, в частности
механизм сброса пароля, отображать их пользователям.
CVE-2013-0305
Орэндж Тсаи обнаружил, что пакетный административный интерфейс
Django может раскрывать информацию, которая должна быть скрыта, через журнал
истории.
CVE-2013-0306
Сотрудники Mozilla обнаружили, что атакующий может использовать отслеживание номеров
форм в наборе форм Django для осуществления атаки по принципу отказа в обслуживании из-за
чрезмерного потребления памяти.
CVE-2013-1665
Майкл Козиарски обнаружил, что десериализация XML в Django уязвима
к расширению сущностей и атаке внешних сущностей/DTD.
В стабильном выпуске (squeeze) эти проблемы были исправлены в
версии 1.2.3-3+squeeze5.
В тестируемом выпуске (wheezy) эти проблемы будут исправлены позже.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.4.4-1.
Рекомендуется обновить пакеты python-django.
обнаружены несколько уязвимостей. Проект Common Vulnerabilities and
Exposures определяет следующие проблемы:
CVE-2012-4520
Джеймс Кеттл обнаружил, что Django неправильно фильтрует заголовки HTTP
Host при обработке определённых запросов. Атакующий может использовать эту уязвимость
для создания произвольных URL и может заставить части Django, в частности
механизм сброса пароля, отображать их пользователям.
CVE-2013-0305
Орэндж Тсаи обнаружил, что пакетный административный интерфейс
Django может раскрывать информацию, которая должна быть скрыта, через журнал
истории.
CVE-2013-0306
Сотрудники Mozilla обнаружили, что атакующий может использовать отслеживание номеров
форм в наборе форм Django для осуществления атаки по принципу отказа в обслуживании из-за
чрезмерного потребления памяти.
CVE-2013-1665
Майкл Козиарски обнаружил, что десериализация XML в Django уязвима
к расширению сущностей и атаке внешних сущностей/DTD.
В стабильном выпуске (squeeze) эти проблемы были исправлены в
версии 1.2.3-3+squeeze5.
В тестируемом выпуске (wheezy) эти проблемы будут исправлены позже.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.4.4-1.
Рекомендуется обновить пакеты python-django.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
python-django - 1.2.3-3+squeeze5
Debian GNU/Linux 6:
noarch:
python-django - 1.2.3-3+squeeze5
Ссылки
http://www.debian.org/security/dsa-2634/
Источник: CVE
Наименование: CVE-2013-0306
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0306
Источник: CVE
Наименование: CVE-2013-0305
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0305
Источник: CVE
Наименование: CVE-2013-1665
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1665
Источник: CVE
Наименование: CVE-2012-4520
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4520
Источник: CVE
Наименование: CVE-2013-0306
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0306
Источник: CVE
Наименование: CVE-2013-0305
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0305
Источник: CVE
Наименование: CVE-2013-1665
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1665
Источник: CVE
Наименование: CVE-2012-4520
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4520