• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-2934-1 python-django -- обновление безопасности

Главная Специалистам База уязвимостей DSA-2934-1 python-django -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Описание
В Django, высокоуровневой инфраструктуре для веб-разработки на Python,
были обнаружены несколько уязвимостей. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:

CVE-2014-0472
Бенджамин Бах обнаружил, что Django некорректно обрабатывает пути
    Python с точками при использовании функции для определения URL reverse(). Атакующий,
    способный запросить специально сформированный вид от приложения Django,
    может использовать эту уязвимость для того, чтобы заставить Django импортировать произвольные
    модули из пути Python, что приводит к возможному выполнению произвольного кода.
CVE-2014-0473
Пол Макмиллан обнаружил, что Django некорректно создаёт кэш определённых
    страниц, содержащих CSRF куки. Удалённый атакующий может использовать эту
    проблему для получения токена CSRF другого пользователя и обхода
    защиты CSRF в приложении Django.
CVE-2014-0474
Михаэль Козярский обнаружил, что определённые модельные поля классов Django
    неправильно выполняют преобразование типов на своих аргументах, что позволяет
    удалённых атакующим получать неожиданные результаты.
CVE-2014-1418
Михаэль Нельсон, Наталия Бидарт и Джейма Уэстби обнаружил, что
    кэшированные данные в Django могут использоваться в другой сессии, либо
    вообще для пользователя без сессии. Атакующий может использовать это для получения
    приватных данных или подделки кэша.
CVE-2014-3730
Петер Кума и Гарвин Валь обнаружили, что Django некорректно
    проверяет определённые неправильные URL, полученные из пользовательского ввода. Атакующий может
    использовать эту проблему для организации перенаправлений.

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в
версии 1.2.3-3+squeeze10.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1.4.5-1+deb7u7.
В тестируемом выпуске (jessie) эти проблемы были исправлены в
версии 1.6.5-1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.6.5-1.
Рекомендуется обновить пакеты python-django.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
python-django - 1.2.3-3+squeeze10
Debian GNU/Linux 7:
noarch:
python-django - 1.4.5-1+deb7u7
Ссылки
http://www.debian.org/security/dsa-2934/

Источник: CVE
Наименование: CVE-2014-0472
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0472

Источник: CVE
Наименование: CVE-2014-0473
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0473

Источник: CVE
Наименование: CVE-2014-3730
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3730

Источник: CVE
Наименование: CVE-2014-1418
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1418

Источник: CVE
Наименование: CVE-2014-0474
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0474