1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
|
#use wml::debian::translation-check translation="c42b2a9a03df6ff47391c1ee90b29a4cd5dc4427" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
<p>В Django, высокоуровневой инфраструктуре для веб-разработки на Python,
были обнаружены несколько уязвимостей. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0472">CVE-2014-0472</a>
<p>Бенджамин Бах обнаружил, что Django некорректно обрабатывает пути
Python с точками при использовании функции для определения URL reverse(). Атакующий,
способный запросить специально сформированный вид от приложения Django,
может использовать эту уязвимость для того, чтобы заставить Django импортировать произвольные
модули из пути Python, что приводит к возможному выполнению произвольного кода.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0473">CVE-2014-0473</a>
<p>Пол Макмиллан обнаружил, что Django некорректно создаёт кэш определённых
страниц, содержащих CSRF куки. Удалённый атакующий может использовать эту
проблему для получения токена CSRF другого пользователя и обхода
защиты CSRF в приложении Django.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0474">CVE-2014-0474</a>
<p>Михаэль Козярский обнаружил, что определённые модельные поля классов Django
неправильно выполняют преобразование типов на своих аргументах, что позволяет
удалённых атакующим получать неожиданные результаты.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1418">CVE-2014-1418</a>
<p>Михаэль Нельсон, Наталия Бидарт и Джейма Уэстби обнаружил, что
кэшированные данные в Django могут использоваться в другой сессии, либо
вообще для пользователя без сессии. Атакующий может использовать это для получения
приватных данных или подделки кэша.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3730">CVE-2014-3730</a>
<p>Петер Кума и Гарвин Валь обнаружили, что Django некорректно
проверяет определённые неправильные URL, полученные из пользовательского ввода. Атакующий может
использовать эту проблему для организации перенаправлений.</p></li>
</ul>
<p>В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в
версии 1.2.3-3+squeeze10.</p>
<p>В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1.4.5-1+deb7u7.</p>
<p>В тестируемом выпуске (jessie) эти проблемы были исправлены в
версии 1.6.5-1.</p>
<p>В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.6.5-1.</p>
<p>Рекомендуется обновить пакеты python-django.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2934.data"
# $Id$
|
