Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 5 (08.03.2016):
Für die Distributionen Ubuntu 14.04 LTS und 15.10 wurde mit dem
Sicherheitsupdate USN-2915-1 eine Regression eingeführt, die Canonical
durch Bereitstellung des kompletten Upstream Regression Fixes mit Update
USN-2915-3 behebt.
Version 4 (07.03.2016):
Zur Behebung einer über das Update auf Version 1.8.10 eingeführten
Regression stehen für die Distributionen Fedora 22 und Fedora 23 neue
Sicherheitsupdates in Form der Pakete python-django-1.8.11-1.fc22 und
python-django-1.8.11-1.fc23 im Status ‘pending’ bereit. Die zuvor
erstellten Sicherheitsupdates FEDORA-2016-8c470e191b und
FEDORA-2016-040577033c wurden in den Status ‘obsolete’ überführt.
Für die Distributionen Ubuntu 14.04 LTS und Ubuntu 15.10 wurde über das
Sicherheitsupdate USN-2915-1 ebenfalls eine Regression eingeführt, die
Canonical über die Bereitstellung des Updates USN-2915-2 behebt.
Version 3 (07.03.2016):
Für Fedora EPEL 7 steht ein Sicherheitsupdate in Form des Paketes
python-django-1.6.11-5.el7 im Status ‘testing’ zur Verfügung.
Version 2 (03.03.2016):
Für Fedora 22 und Fedora 23 stehen Sicherheitsupdates auf die Python
Django Version 1.8.10 im Status ‘testing’ zur Verfügung.
Version 1 (02.03.2016):
Neues Advisory
Betroffene Software:
Django <= 1.8.9 Django <= 1.9.2 Betroffene Plattformen: Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 15.10 Red Hat Fedora 22 Red Hat Fedora 23 Extra Packages for Red Hat Enterprise Linux 7 Zwei Schwachstellen in Python Django ermöglichen einem entfernten, nicht authentifizierten Angreifer Benutzer auf schädliche Websites umzuleiten, Cross-Site-Scripting (XSS)-Angriffe durchzuführen und gültige Benutzernamen zu ermitteln (User Enumeration). Canonical stellt verschiedene Backport-Sicherheitsupdates für die Distributionen Ubuntu 15.10, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS zur Verfügung. Patch: Ubuntu Security Notice USN-2915-1 http://www.ubuntu.com/usn/usn-2915-1/
Patch:
Fedora Security Update FEDORA-EPEL-2016-8fd1e13dd2 (Fedora EPEL 7)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-8fd1e13dd2
Patch:
Fedora Security Update FEDORA-2016-11183ea08d (Fedora 23)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-11183ea08d
Patch:
Fedora Security Update FEDORA-2016-b004d6d8f7 (Fedora 22)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-b004d6d8f7
Patch:
Ubuntu Security Notice USN-2915-2
http://www.ubuntu.com/usn/usn-2915-2/
Patch:
Ubuntu Security Notice USN-2915-3
http://www.ubuntu.com/usn/usn-2915-3/
CVE-2016-2513: Schwachstelle in Django ermöglicht Ausspähen von
Informationen
Durch eine Timing-Schwachstelle in der Passwort-Hashing-Funktion
‘PBKDF2PasswordHasher()’ von Django können gültige Benutzernamen ermittelt
werden (User Enumeration). Die standardmäßige Anzahl von Iterationen für
‘PBKDF2PasswordHasher()’ und ihre Unterklassen hat sich in jeder größeren
Versionsänderung seit Django 1.6 erhöht. Dies erzeugt eine Zeitdifferenz
zwischen einer Anmeldeanforderung für einen Benutzer mit einem Passwort, das
noch in einer älteren Anzahl von Iterationen kodiert ist, und einer
Anmeldeanforderung für einen nicht existierenden Benutzer. Dies betrifft nur
Anwender, die nicht angemeldet waren seit sich die Iterationen erhöht haben.
Sobald sich ein Benutzer das erste Mal wieder anmeldet, wird das Passwort
mit den neuen Iterationen aktualisiert und es entsteht keine Zeitdifferenz
mehr. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, indem er speziell präparierte Anfragen sendet, und
die Zeitdifferenz bis zur Antwort des Ziel-Servers misst, um damit gültige
Benutzernamen zu ermitteln (User Enumeration).
CVE-2016-2512: Schwachstelle in Django ermöglicht
Cross-Site-Scripting-Angriffe
Durch einen Programmierfehler in der Sicherheitsfunktion
‘django.utils.http.is_safe_url()’ von Django werden von Benutzern
eingegebene Weiterleitungs-URLs (Redirect URLs) nicht korrekt überprüft.
Alle URLs mit generischen Authentifizierungsdaten (Basic Authentication
Credentials) werden uneingeschränkt als sicher eingestuft. Ein entfernter,
nicht authentifizierter Angreifer kann dies ausnutzen, um auf schädliche
Websites weiterzuleiten oder Cross-Site-Scripting-Angriffe durchzuführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0363/
Ubuntu Security Notice USN-2915-1:
http://www.ubuntu.com/usn/usn-2915-1/
Schwachstelle CVE-2016-2512 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2512
Schwachstelle CVE-2016-2513 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2513
Fedora Security Update FEDORA-EPEL-2016-8fd1e13dd2 (Fedora EPEL 7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-8fd1e13dd2
Fedora Security Update FEDORA-2016-11183ea08d (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-11183ea08d
Fedora Security Update FEDORA-2016-b004d6d8f7 (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-b004d6d8f7
Ubuntu Security Notice USN-2915-2:
http://www.ubuntu.com/usn/usn-2915-2/
Ubuntu Security Notice USN-2915-3:
http://www.ubuntu.com/usn/usn-2915-3/
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
