Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Django

Betroffene Plattformen:

Debian Linux 8.7 Jessie

Mehrere Schwachstellen in Django ermöglichen einem entfernten, nicht
authentisierten Angreifer die Darstellung falscher Informationen, das
Erlangen von Benutzerrechten sowie die Durchführung von
Cross-Site-Scripting-Angriffen.

Debian stellt für die stabile Distribution Jessie ein Sicherheitsupdate für
Django bereit.

Patch:

Debian Security Advisory DSA-3835-1

https://www.debian.org/security/2017/dsa-3835

CVE-2017-7234: Schwachstelle in Django ermöglicht Darstellung falscher
Informationen

Eine speziell präparierte URL, die über die Funktion
‘django.views.static.serve’ ausgeliefert wird, kann auf eine andere Domäne
weiterleiten (Open Redirect). Ein entfernter, nicht authentisierter
Angreifer, der den übergebenen Parameter kontrollieren kann, kann dadurch
falsche Informationen darstellen.

CVE-2017-7233: Schwachstelle in Django ermöglicht Darstellung falscher
Informationen und Cross-Site-Scripting-Angriff

Django verwendet an einigen Stellen im Programmcode Benutzereingaben, um
Benutzer an eine bestimmte URL weiterzuleiten. Die Prüfung der
Benutzereingaben erfolgt in der Funktion ‘django.utils.http.is_safe_url’.
Diese Funktion sieht einige numerische URLs als sicher an, obwohl diese
unsicher sind. Ein entfernter, nicht authentisierter Angreifer kann dies für
die Darstellung falscher Informationen ausnutzen (Open Redirect). Ein
Cross-Site-Scripting-Angriff ist ebenfalls möglich, wenn der Angreifer einen
Entwickler der Anwendung dazu verleitet, solche eine numerische URL in einem
Link zu verwenden.

CVE-2016-9014: Schwachstelle in Django ermöglicht
Cross-Site-Scripting-Angriff

Weil Django die Host-Kopfdaten nicht gegen die Einstellung
‘settings.ALLOWED_HOST’ prüft, wenn ‘settings.DEBUG=TRUE’ gesetzt ist,
existiert eine DNS-Rebinding-Schwachstelle. Die Schwachstelle selbst
ermöglicht einem Angreifer nicht die Ausführung beliebigen Programmcodes,
jedoch kann sie für Cross-Site-Scripting-Angriffe ausgenutzt werden, was
beispielsweise bei der Verwendung des Paketes ‘django-debug-toolbar’ das
Einschleusen beliebiger SQL-Befehle ermöglicht. Ein entfernter, nicht
authentifizierter Angreifer kann durch die Manipulation der Namensauflösung
einen Cross-Site-Scripting-Angriff durchführen.

CVE-2016-9013: Schwachstelle in Django ermöglicht Erlangen von
Benutzerrechten

Eine fehlerhafte Einstellung in Django führt dazu, dass bei Testdurchläufen
mit Oracle Datenbanken ein temporärer Benutzer mit einem fest
voreingestellten Passwort verwendet wird, wenn dies nicht explizit in der
Sektion ‘TEST’ der Datenbankeinstellungen geändert wurde. Ein entfernter,
nicht authentifizierter Angreifer mit Zugang zum Server kann dies ausnutzen
und sich mit diesem Benutzeraccount anmelden, solange die Tests laufen. Für
gewöhnlich wird der angelegte Benutzer nach dem Testdurchlauf wieder
gelöscht, jedoch wird dies nicht vorgenommen, wenn die Option ‘manage.py
test –keepdb’ eingestellt ist oder der Angreifer den Benutzeraccount gerade
in einer aktiven Sitzung mit einem Server ausnutzt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0725/

Schwachstelle CVE-2016-9013 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9013

Schwachstelle CVE-2016-9014 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9014

Schwachstelle CVE-2017-7233 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7233

Schwachstelle CVE-2017-7234 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7234

Debian Security Advisory DSA-3835-1:
https://www.debian.org/security/2017/dsa-3835

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.