• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3835-1 python-django -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3835-1 python-django -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Описание
В Django, инфраструктуре веб-разработки на Python высокого уровня,
было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:

CVE-2016-9013
    Марти Раудсеп сообщил, что при запуске тестов с базой данных Oracle
    создаётся пользователь с предустановленным паролем.
CVE-2016-9014
    Аймерик Огастин обнаружил, что Django неправильно выполняет проверку
    заголовка Host на соответствие settings.ALLOWED_HOSTS в случае, если
    включена отладка. Удалённый злоумышленник может использовать эту уязвимость
    для выполнения атак по изменению привязки DNS.
CVE-2017-7233
    Было обнаружено, что is_safe_url() неправильно обрабатывает
    определённые цифровые URL как безопасные. Удалённый злоумышленник может использовать
    эту уязвимость для выполнения XSS-атак или использования сервера Django
    в качестве открытого перенаправления.
CVE-2017-7234
    Phithon из Chaitin Tech обнаружил уязвимость открытого перенаправления
    в виде django.views.static.serve(). Заметьте, что этот вид не предназначен
    для промышленного использования.

В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 1.7.11-1+deb8u2.
Рекомендуется обновить пакеты python-django.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
python-django - 1.7.11-1+deb8u2
python-django-common - 1.7.11-1+deb8u2
python-django-doc - 1.7.11-1+deb8u2
python3-django - 1.7.11-1+deb8u2
Ссылки
http://www.debian.org/security/dsa-3835/

Источник: CVE
Наименование: CVE-2017-7233
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7233

Источник: CVE
Наименование: CVE-2016-9014
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9014

Источник: CVE
Наименование: CVE-2016-9013
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9013

Источник: CVE
Наименование: CVE-2017-7234
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7234