DFN-CERT-2016-0193 Django: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux]

DFN-CERT-2016-0193 Django: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Django <= 1.9.1 Betroffene Plattformen: GNU/Linux Ein entfernter, einfach authentifizierter Angreifer kann durch einen Fehler in der Prüfung von Berechtigungen Sicherheitsvorkehrungen umgehen und, auch wenn er die Berechtigung 'add' nicht besitzt, neue Objekte erzeugen. Ein Update auf Django 1.9.2 behebt diese Schwachstelle. Patch: Django Security Update 1.9.2 https://docs.djangoproject.com/en/1.9/releases/1.9.2/

CVE-2016-2048: Schwachstelle in Django ermöglicht Umgehen von
Sicherheitsvorkehrungen

Falls der Parameter ‘save_as=TRUE’ für die Klasse ‘ModelAdmin’ gesetzt ist,
können bearbeitete Objekte als neue Objekte (mit neuer ID) gespeichert
werden. Im betreffenden Formular erscheint dann statt des ‘Save as’-Knopfes
ein ‘Save as new’-Knopf. Durch eine fehlerhafte Berechtigungsprüfung führt
das Speichern eines Objektes über ‘Save as new’ nicht zu einem
Ausnahmefehler, wenn der Benutzer die Berechtigung ‘add’ für Objekte nicht
besitzt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0193/

Django Security Update 1.9.2:
https://docs.djangoproject.com/en/1.9/releases/1.9.2/

Django releases issued: 1.9.2 (security) and 1.8.9 (bugfix):
https://www.djangoproject.com/weblog/2016/feb/01/releases-192-and-189/

Schwachstelle CVE-2016-2048 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2048

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben