U radu programskog paketa Django uočeno je više sigurnosnih propusta. Napadači te propuste mogu iskoristiti za napad uskraćivanjem usluga (eng. Denial of Service), zaobilaženje ograničenja te otkrivanje osjetljivih informacija.
Paket:
django 1.x
Operacijski sustavi:
Fedora 16
Problem:
CSRF, neodgovarajuća provjera ulaznih podataka, pogreška u programskoj komponenti
Iskorištavanje:
lokalno/udaljeno
Posljedica:
dobivanje većih privilegija, otkrivanje osjetljivih informacija, uskraćivanje usluga (DoS)
Rješenje:
programska zakrpa proizvođača
Izvorni ID preporuke:
FEDORA-2011-12503
Izvor:
Fedora
Problem:
Sigurnosne ranjivosti su posljedica pogreške u programskoj komponenti "django.contrib.sessions", neodgovarajuće provjere URL adresa, CSRF (eng. Cross-Site Request Forgery) ranjivosti, itd.
Posljedica:
Zloćudni korisnik navedene ranjivosti može iskoristiti za pregled određenih podataka i zaobilaženje ograničenja u sustavu, te za napad uskraćivanjem usluga (DoS).
Rješenje:
Svim se korisnicima navedenog programskog paketa, u svrhu zaštite sigurnosti, savjetuje njegova nadogradnja na novije inačice.
--------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2011-12503
2011-09-11 17:42:31
--------------------------------------------------------------------------------
Name : Django
Product : Fedora 16
Version : 1.3.1
Release : 2.fc16
URL : http://www.djangoproject.com/
Summary : A high-level Python Web framework
Description :
Django is a high-level Python Web framework that encourages rapid
development and a clean, pragmatic design. It focuses on automating as
much as possible and adhering to the DRY (Don't Repeat Yourself)
principle.
--------------------------------------------------------------------------------
Update Information:
Security update to address vulnerabilities; see
https://www.djangoproject.com/weblog/2011/sep/09/security-releases-issued/
Update for version 1.3.
--------------------------------------------------------------------------------
References:
[ 1 ] Bug #737239 - Django-1.3.1 is available
https://bugzilla.redhat.com/show_bug.cgi?id=737239
[ 2 ] Bug #680768 - Django-doc should be generated using "html" builder
https://bugzilla.redhat.com/show_bug.cgi?id=680768
[ 3 ] Bug #690103 - Django-1.3 is available
https://bugzilla.redhat.com/show_bug.cgi?id=690103
--------------------------------------------------------------------------------
This update can be installed with the "yum" update program. Use
su -c 'yum update Django' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
--------------------------------------------------------------------------------
_______________________________________________
package-announce mailing list
Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
https://admin.fedoraproject.org/mailman/listinfo/package-announce
Posljednje sigurnosne preporuke