UPDATE: DFN-CERT-2015-1284 Django: Zwei Schwachstellen ermöglichen einen Denial-of-Service-Angriff [Linux][Debian][Fedora]

UPDATE: DFN-CERT-2015-1284 Django: Zwei Schwachstellen ermöglichen einen Denial-of-Service-Angriff [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (27.08.2015):
Für die Distributionen Fedora 22 und Fedora 23 sowie für Fedora EPEL 7
stehen Sicherheitsupdates im Status ‘testing’ bereit.
Version 2 (24.08.2015):
Debian stellt aktualisierte Pakete für die Distributionen Wheezy und
Jessie bereit.
Version 1 (19.08.2015):
Neues Advisory

Betroffene Software:

Django

Betroffene Plattformen:

Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 15.04
Debian Linux 7.8 Wheezy
Debian Linux 8.1 Jessie
Red Hat Fedora 22
Red Hat Fedora 23
Extra Packages for Red Hat Enterprise Linux 7

Zwei Schwachstellen in Django, einem auf Python basierenden Web-Framework,
ermöglichen es einem entfernten, einfach authentifizierten Angreifer einen
Denial-of-Service-Angriff durchzuführen.

Für die Distributionen Ubuntu 15.04, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS
stehen Sicherheitsupdates zur Verfügung.

Patch:

Ubuntu Security Notice USN-2720-1

http://www.ubuntu.com/usn/usn-2720-1/

Patch:

Debian Security Advisory DSA-3338-1

https://www.debian.org/security/2015/dsa-3338

Patch:

Fedora Security Update FEDORA-2015-13823

https://bodhi.fedoraproject.org/updates/python-django-1.8.4-1.fc22

Patch:

Fedora Security Update FEDORA-2015-13824

https://bodhi.fedoraproject.org/updates/python-django-1.8.4-1.fc23

Patch:

Fedora Security Update FEDORA-EPEL-2015-7800

https://bodhi.fedoraproject.org/updates/python-django-1.6.11-3.el7

CVE-2015-5963 CVE-2015-5964: Schwachstellen in Django ermöglichen
Denial-of-Service-Angriff

In der Speicherverwaltung des Session-Stores in Python Django bestehen zwei
Schwachstellen. Während eines ‘Logouts’ kann es durch diese zu einem
vollständigen Aufbrauchen des Session-Speichers kommen, wodurch der Dienst
in einem Denial-of-Service (DoS)-Zustand endet.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1284/

Ubuntu Security Notice USN-2720-1:
http://www.ubuntu.com/usn/usn-2720-1/

Schwachstelle CVE-2015-5963 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5963

Schwachstelle CVE-2015-5964 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5964

Debian Security Advisory DSA-3338-1:
https://www.debian.org/security/2015/dsa-3338

Fedora Security Update FEDORA-2015-13823:
https://bodhi.fedoraproject.org/updates/python-django-1.8.4-1.fc22

Fedora Security Update FEDORA-2015-13824 :
https://bodhi.fedoraproject.org/updates/python-django-1.8.4-1.fc23

Fedora Security Update FEDORA-EPEL-2015-7800:
https://bodhi.fedoraproject.org/updates/python-django-1.6.11-3.el7

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben