Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Описание
В Django, инфраструктуре веб-разработки на Python высокого уровня,
было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2016-9013
Марти Раудсеп сообщил, что при запуске тестов с базой данных Oracle
создаётся пользователь с предустановленным паролем.
CVE-2016-9014
Аймерик Огастин обнаружил, что Django неправильно выполняет проверку
заголовка Host на соответствие settings.ALLOWED_HOSTS в случае, если
включена отладка. Удалённый злоумышленник может использовать эту уязвимость
для выполнения атак по изменению привязки DNS.
CVE-2017-7233
Было обнаружено, что is_safe_url() неправильно обрабатывает
определённые цифровые URL как безопасные. Удалённый злоумышленник может использовать
эту уязвимость для выполнения XSS-атак или использования сервера Django
в качестве открытого перенаправления.
CVE-2017-7234
Phithon из Chaitin Tech обнаружил уязвимость открытого перенаправления
в виде django.views.static.serve(). Заметьте, что этот вид не предназначен
для промышленного использования.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 1.7.11-1+deb8u2.
Рекомендуется обновить пакеты python-django.
было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2016-9013
Марти Раудсеп сообщил, что при запуске тестов с базой данных Oracle
создаётся пользователь с предустановленным паролем.
CVE-2016-9014
Аймерик Огастин обнаружил, что Django неправильно выполняет проверку
заголовка Host на соответствие settings.ALLOWED_HOSTS в случае, если
включена отладка. Удалённый злоумышленник может использовать эту уязвимость
для выполнения атак по изменению привязки DNS.
CVE-2017-7233
Было обнаружено, что is_safe_url() неправильно обрабатывает
определённые цифровые URL как безопасные. Удалённый злоумышленник может использовать
эту уязвимость для выполнения XSS-атак или использования сервера Django
в качестве открытого перенаправления.
CVE-2017-7234
Phithon из Chaitin Tech обнаружил уязвимость открытого перенаправления
в виде django.views.static.serve(). Заметьте, что этот вид не предназначен
для промышленного использования.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 1.7.11-1+deb8u2.
Рекомендуется обновить пакеты python-django.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
python-django - 1.7.11-1+deb8u2
python-django-common - 1.7.11-1+deb8u2
python-django-doc - 1.7.11-1+deb8u2
python3-django - 1.7.11-1+deb8u2
Debian GNU/Linux 8:
noarch:
python-django - 1.7.11-1+deb8u2
python-django-common - 1.7.11-1+deb8u2
python-django-doc - 1.7.11-1+deb8u2
python3-django - 1.7.11-1+deb8u2
Ссылки
http://www.debian.org/security/dsa-3835/
Источник: CVE
Наименование: CVE-2017-7233
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7233
Источник: CVE
Наименование: CVE-2016-9014
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9014
Источник: CVE
Наименование: CVE-2016-9013
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9013
Источник: CVE
Наименование: CVE-2017-7234
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7234
Источник: CVE
Наименование: CVE-2017-7233
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7233
Источник: CVE
Наименование: CVE-2016-9014
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9014
Источник: CVE
Наименование: CVE-2016-9013
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9013
Источник: CVE
Наименование: CVE-2017-7234
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7234