blob: f4d71f64f6b42fdf9c904299c11eeb7a007d9984 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
|
#use wml::debian::translation-check translation="c42b2a9a03df6ff47391c1ee90b29a4cd5dc4427" mindelta="1"
<define-tag description>säkerhetsuppdatering</define-tag>
<define-tag moreinfo>
<p>Flera sårbarheter har upptäckts i Django, ett Pythonbaserat högnivå
webbutvecklingsramverk. Projektet Common Vulnerabilities and Exposures
identifierar följande problem:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0472">CVE-2014-0472</a>
<p>Benjamin Bach upptäckte att Django felaktigt hanterar Pythonsökvägar
med punkter vid användning av reverse() URL-resolverfunktionen. En
angripare som kunde efterfråga en speciellt skapad vy från en
Djangoapplikation kunde använda detta problem för att orsaka Django att
importera godtyckliga moduler från Python-sökvägen, resulterande i
möjlig kodexekvering.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0473">CVE-2014-0473</a>
<p>Paul McMillan upptäckte att Django felaktigt cachar vissa sidor
som innehåller CSRF-kakor. En fjärrangripare kunde använda denna
brist för att få CSRF-beviset för en annan användare och förbigå
avsedda CSRF-skydd i en Django-applikation.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0474">CVE-2014-0474</a>
<p>Michael Koziarski upptäckte att vissa Django model field-klasser
inte tillräckligt utför typkonvertering på sina argument, vilket
tillåter fjärrangripare att få oväntade resultat.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1418">CVE-2014-1418</a>
<p>Michael Nelson, Natalia Bidart och James Westby upptäckte att
cachad data i Django kom att servas för en annan session, eller till
en användare helt utan session. En angripare kan använda detta för att
få åtkomst till privat data eller för förgifta en cache.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3730">CVE-2014-3730</a>
<p>Peter Kuma och Gavin Wahl upptäckte att Django felaktigt
validerar vissa missformade URLer från användarindata. En angripare
kan använda detta för att orsaka oväntade omdirigeringar.</p></li>
</ul>
<p>För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i
version 1.2.3-3+squeeze10.</p>
<p>För den stabila utgåvan (Wheezy) har dessa problem rättats i
version 1.4.5-1+deb7u7.</p>
<p>För uttestningsutgåvan (Jessie) har dessa problem rättats i
version 1.6.5-1.</p>
<p>För den instabila utgåvan (Sid) har dessa problem rättats i
version 1.6.5-1.</p>
<p>Vi rekommenderar att ni uppgraderar era python-django-paket.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2934.data"
|