path: root/russian/security/2017/dsa-3835.wml

#use wml::debian::translation-check translation="312ad41583daad4f13fe2be21845e5e89a8c3c8d" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
<p>В Django, инфраструктуре веб-разработки на Python высокого уровня,
было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9013">CVE-2016-9013</a>

    <p>Марти Раудсеп сообщил, что при запуске тестов с базой данных Oracle
    создаётся пользователь с предустановленным паролем.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9014">CVE-2016-9014</a>

    <p>Аймерик Огастин обнаружил, что Django неправильно выполняет проверку
    заголовка Host на соответствие settings.ALLOWED_HOSTS в случае, если
    включена отладка. Удалённый злоумышленник может использовать эту уязвимость
    для выполнения атак по изменению привязки DNS.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7233">CVE-2017-7233</a>

    <p>Было обнаружено, что is_safe_url() неправильно обрабатывает
    определённые цифровые URL как безопасные. Удалённый злоумышленник может использовать
    эту уязвимость для выполнения XSS-атак или использования сервера Django
    в качестве открытого перенаправления.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7234">CVE-2017-7234</a>

    <p>Phithon из Chaitin Tech обнаружил уязвимость открытого перенаправления
    в виде django.views.static.serve(). Заметьте, что этот вид не предназначен
    для промышленного использования.</p></li>

</ul>

<p>В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 1.7.11-1+deb8u2.</p>

<p>Рекомендуется обновить пакеты python-django.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3835.data"
# $Id$