2011年10月29日

[debian-users:55728] [Translate] [SECURITY] [DSA 2332-1] python-django security update

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- -------------------------------------------------------------------------
Debian Security Advisory DSA-2332-1 security@xxxxx
http://www.debian.org/security/ Thijs Kinkhorst

October 29, 2011 http://www.debian.org/security/faq
- -------------------------------------------------------------------------

Package : python-django
Vulnerability : 複数の問題
Problem type : リモート
Debian-specific: いいえ
CVE ID : CVE-2011-4136 CVE-2011-4137 CVE-2011-4138 CVE-2011-4139
CVE-2011-4140
Debian Bug : 641405

Paul McMillan さん、および Mozilla と the Django core team の方々により、Python ウェ
ブフレームワーク Django に複数の欠陥が発見されました。

CVE-2011-4136

メモリベースのセッションとキャッシングを用いる場合、Django セッショ
ンはキャッシュのルート名前空間の中に直接保存されます。ユーザデータ
が同じキャッシュを使うようになっている場合、リモートユーザからのセ
ッションの奪取が可能です。

CVE-2011-4137, CVE-2011-4138

Django のフィールドタイプ URL は、標準設定では与えられた URL にアク
セスを行い、それがタイムアウトしないというチェックを行っています。
コネクションを無限に開き続けるような細工した URL を用いてサービス拒
否攻撃や、Django サーバのメモリを埋め尽くす攻撃が可能です

CVE-2011-4139

Django は URL 全体を作成する際に、X-Forwarded-Host ヘッダを用いてい
ます。このヘッダには信用できない入力が含まれる可能性があり、キャッ
シュの汚染に悪用可能です。

CVE-2011-4140

Django の CSRF 保護メカニズムが、任意の HTTP ホストヘッダをサポート
するウェブサーバ設定を適切に扱うことができず、リモートの攻撃者によ
る認証を経ないリクエストの詐称が可能です。


旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は
バージョン 1.0.2-1+lenny3 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー
ジョン 1.2.3-3+squeeze2 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューション
では、この問題はバージョン 1.3.1-1 で修正されています。

直ぐに python-django パッケージをアップグレードすることを勧めます。

Debian Security Advisories に関する説明、これらの更新をシステムに適用
する方法、FAQ などは http://www.debian.org/security/ を参照ください。

Mailing list: debian-security-announce@xxxxx
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxx
---------------------------------------------------------

投稿者 xml-rpc : 2011年10月29日 20:21
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/107083
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。