Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 5 (15.10.2015):
Für Red Hat OpenStack 6.0 für RHEL 7 stehen Sicherheitsupdates in Form
aktualisierter ‘python-django’-Pakete zur Verfügung.
Version 4 (11.09.2015):
Für Red Hat OpenStack 5.0 für RHEL 6 und RHEL 7 stehen Sicherheitsupdates
in Form aktualisierter ‘python-django’-Pakete zur Verfügung.
Version 3 (27.08.2015):
Für die Distributionen Fedora 22 und Fedora 23 sowie für Fedora EPEL 7
stehen Sicherheitsupdates im Status ‘testing’ bereit.
Version 2 (24.08.2015):
Debian stellt aktualisierte Pakete für die Distributionen Wheezy und
Jessie bereit.
Version 1 (19.08.2015):
Neues Advisory
Betroffene Software:
Django
Betroffene Plattformen:
Red Hat Enterprise Linux OpenStack 5
Red Hat Enterprise Linux OpenStack 6
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 15.04
Debian Linux 7.8 Wheezy
Debian Linux 8.1 Jessie
Red Hat Enterprise Linux 6
Red Hat Enterprise Linux 7
Red Hat Fedora 22
Red Hat Fedora 23
Extra Packages for Red Hat Enterprise Linux 7
Zwei Schwachstellen in Django, einem auf Python basierenden Web-Framework,
ermöglichen es einem entfernten, einfach authentifizierten Angreifer einen
Denial-of-Service-Angriff durchzuführen.
Für die Distributionen Ubuntu 15.04, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS
stehen Sicherheitsupdates zur Verfügung.
Patch:
Ubuntu Security Notice USN-2720-1
http://www.ubuntu.com/usn/usn-2720-1/
Patch:
Debian Security Advisory DSA-3338-1
https://www.debian.org/security/2015/dsa-3338
Patch:
Fedora Security Update FEDORA-2015-13823
https://bodhi.fedoraproject.org/updates/python-django-1.8.4-1.fc22
Patch:
Fedora Security Update FEDORA-2015-13824
https://bodhi.fedoraproject.org/updates/python-django-1.8.4-1.fc23
Patch:
Fedora Security Update FEDORA-EPEL-2015-7800
https://bodhi.fedoraproject.org/updates/python-django-1.6.11-3.el7
Patch:
Red Hat Security Advisory RHSA-2015:1766
http://rhn.redhat.com/errata/RHSA-2015-1766.html
Patch:
Red Hat Security Advisory RHSA-2015:1767
http://rhn.redhat.com/errata/RHSA-2015-1767.html
CVE-2015-5963 CVE-2015-5964: Schwachstellen in Django ermöglichen
Denial-of-Service-Angriff
In der Speicherverwaltung des Session-Stores in Python Django bestehen zwei
Schwachstellen. Während eines ‘Logouts’ kann es durch diese zu einem
vollständigen Aufbrauchen des Session-Speichers kommen, wodurch der Dienst
in einem Denial-of-Service (DoS)-Zustand endet.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1284/
Ubuntu Security Notice USN-2720-1:
http://www.ubuntu.com/usn/usn-2720-1/
Schwachstelle CVE-2015-5963 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5963
Schwachstelle CVE-2015-5964 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5964
Debian Security Advisory DSA-3338-1:
https://www.debian.org/security/2015/dsa-3338
Fedora Security Update FEDORA-2015-13823:
https://bodhi.fedoraproject.org/updates/python-django-1.8.4-1.fc22
Fedora Security Update FEDORA-2015-13824 :
https://bodhi.fedoraproject.org/updates/python-django-1.8.4-1.fc23
Fedora Security Update FEDORA-EPEL-2015-7800:
https://bodhi.fedoraproject.org/updates/python-django-1.6.11-3.el7
Red Hat Security Advisory RHSA-2015:1766:
http://rhn.redhat.com/errata/RHSA-2015-1766.html
Red Hat Security Advisory RHSA-2015:1767:
http://rhn.redhat.com/errata/RHSA-2015-1767.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
