DFN-CERT-2017-0603 Django: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

DFN-CERT-2017-0603 Django: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Django < 1.6.11.6 Betroffene Plattformen: Extra Packages for Red Hat Enterprise Linux 7 Mehrere Schwachstellen in Django ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen, das Erlangen von Benutzerrechten und einen Cross-Site-Scripting-Angriff. Für Fedora EPEL 7 stehen mit dem Paket 'python-django-1.6.11.6-1.el7' Sicherheitsupdates für Django auf Version 1.6.11.6 im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-EPEL-2017-45845d256f (Fedora EPEL 7, python-django-1.6.11.6-1.el7) https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-45845d256f

CVE-2016-9014: Schwachstelle in Django ermöglicht
Cross-Site-Scripting-Angriff

Weil Django die Host-Kopfdaten nicht gegen die Einstellung
‘settings.ALLOWED_HOST’ prüft, wenn ‘settings.DEBUG=TRUE’ gesetzt ist,
existiert eine DNS-Rebinding-Schwachstelle. Die Schwachstelle selbst
ermöglicht einem Angreifer nicht die Ausführung beliebigen Programmcodes,
jedoch kann sie für Cross-Site-Scripting-Angriffe ausgenutzt werden, was
beispielsweise bei der Verwendung des Paketes ‘django-debug-toolbar’ das
Einschleusen beliebiger SQL-Befehle ermöglicht. Ein entfernter, nicht
authentifizierter Angreifer kann durch die Manipulation der Namensauflösung
einen Cross-Site-Scripting-Angriff durchführen.

CVE-2016-9013: Schwachstelle in Django ermöglicht Erlangen von
Benutzerrechten

Eine fehlerhafte Einstellung in Django führt dazu, dass bei Testdurchläufen
mit Oracle Datenbanken ein temporärer Benutzer mit einem fest
voreingestellten Passwort verwendet wird, wenn dies nicht explizit in der
Sektion ‘TEST’ der Datenbankeinstellungen geändert wurde. Ein entfernter,
nicht authentifizierter Angreifer mit Zugang zum Server kann dies ausnutzen
und sich mit diesem Benutzeraccount anmelden, solange die Tests laufen. Für
gewöhnlich wird der angelegte Benutzer nach dem Testdurchlauf wieder
gelöscht, jedoch wird dies nicht vorgenommen, wenn die Option ‘manage.py
test –keepdb’ eingestellt ist oder der Angreifer den Benutzeraccount gerade
in einer aktiven Sitzung mit einem Server ausnutzt.

CVE-2016-7401: Schwachstelle in Django ermöglicht Umgehen von
Sicherheitsvorkehrungen

Eine nicht näher beschriebene Schwachstelle in Django, welche durch eine
Interaktion zwischen Google Analytics und der Cookie-Verarbeitung in Django
auftritt, ermöglicht es einem Angreifer, beliebige Cookies zu setzen und
dadurch Cross-Site-Request-Forgery-Schutzmechanismen zu umgehen. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle durch
eine bösartig präparierte Webseite mit Google Analytics Funktionen ausnutzen
und Sicherheitsvorkehrungen umgehen, um im nächsten Schritt einen
Cross-Site-Request-Forgery-Angriff durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0603/

Schwachstelle CVE-2016-7401 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7401

Schwachstelle CVE-2016-9013 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9013

Schwachstelle CVE-2016-9014 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9014

Fedora Security Update FEDORA-EPEL-2017-45845d256f (Fedora EPEL 7,
python-django-1.6.11.6-1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-45845d256f

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben