UPDATE: DFN-CERT-2017-0578 Django: Zwei Schwachstellen ermöglichen einen Cross-Site-Scripting-Angriff und die Darstellung falscher Informationen [Linux][Fedora][RedHat]

UPDATE: DFN-CERT-2017-0578 Django: Zwei Schwachstellen ermöglichen einen Cross-Site-Scripting-Angriff und die Darstellung falscher Informationen [Linux][Fedora][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (29.06.2017):
Für die Cloud-Computing Plattform Red Hat Enterprise Linux OpenStack 10
(Newton) steht ein Sicherheitsupdate für ‘python-django’ bereit, welches
die Schwachstelle CVE-2017-7233 adressiert.
Version 4 (15.06.2017):
Für die Cloud-Computing Plattformen Red Hat Enterprise Linux OpenStack 6.0
(Juno), 7.0 (Kilo), 8.0 (Liberty) und 9.0 (Mitaka) für Red Hat Enterprise
Linux 7 stehen Sicherheitsupdates für ‘python-django’ bereit, welche die
Schwachstelle CVE-2017-7233 adressieren.
Version 3 (10.04.2017):
Für Fedora 25 steht mit dem Paket ‘python-django-1.9.13-1.fc25’ ein
Sicherheitsupdate auf Django 1.9.13 zur Behebung der Schwachstelle
CVE-2017-7233 im Status ‘testing’ bereit.
Version 2 (07.04.2017):
Für Fedora 26 steht mit dem Paket ‘python-django-1.10.7-1.fc26’ ein
Sicherheitsupdate zur Behebung der Schwachstelle CVE-2017-7233 im Status
‘testing’ bereit.
Version 1 (05.04.2017):
Neues Advisory

Betroffene Software:

Django < 1.8.18 Django < 1.9.13 Django < 1.10.7 Betroffene Plattformen: Red Hat Enterprise Linux OpenStack 6.0 (Juno) Red Hat Enterprise Linux OpenStack 7.0 (Kilo) Red Hat Enterprise Linux OpenStack 8.0 (Liberty) Red Hat Enterprise Linux OpenStack 9.0 (Mitaka) Red Hat Enterprise Linux OpenStack 10.0 (Newton) Canonical Ubuntu Linux 12.04 LTS Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 16.10 Red Hat Enterprise Linux 7 Red Hat Fedora 25 Red Hat Fedora 26 Zwei Schwachstellen in Django ermöglichen einem entfernten, nicht authentisierten Angreifer, der bestimmte Eingabeparameter kontrollieren kann, die Darstellung falscher Informationen und einen Cross-Site-Scripting-Angriff über speziell präparierte URLs. Der Hersteller veröffentlicht Django 1.8.18, 1.9.13 und 1.10.7 zur Behebung der Schwachstellen. Canonical stellt für Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 16.04 LTS und Ubuntu 16.10 Sicherheitsupdates bereit. Patch: Django security releases issued: 1.10.7, 1.9.13, and 1.8.18 https://www.djangoproject.com/weblog/2017/apr/04/security-releases/

Patch:

Ubuntu Security Notice USN-3254-1

http://www.ubuntu.com/usn/usn-3254-1/

Patch:

Fedora Security Update FEDORA-2017-f997e46fa7 (Fedora 26,
python-django-1.10.7-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-f997e46fa7

Patch:

Fedora Security Update FEDORA-2017-c0ef6054d7 (Fedora 25,
python-django-1.9.13-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-c0ef6054d7

Patch:

Red Hat Security Advisory RHSA-2017:1445

http://rhn.redhat.com/errata/RHSA-2017-1445.html

Patch:

Red Hat Security Advisory RHSA-2017:1451

http://rhn.redhat.com/errata/RHSA-2017-1451.html

Patch:

Red Hat Security Advisory RHSA-2017:1462

http://rhn.redhat.com/errata/RHSA-2017-1462.html

Patch:

Red Hat Security Advisory RHSA-2017:1470

http://rhn.redhat.com/errata/RHSA-2017-1470.html

Patch:

Red Hat Security Advisory RHSA-2017:1596

http://rhn.redhat.com/errata/RHSA-2017-1596.html

CVE-2017-7234: Schwachstelle in Django ermöglicht Darstellung falscher
Informationen

Eine speziell präparierte URL, die über die Funktion
‘django.views.static.serve’ ausgeliefert wird, kann auf eine andere Domäne
weiterleiten (Open Redirect). Ein entfernter, nicht authentisierter
Angreifer, der den übergebenen Parameter kontrollieren kann, kann dadurch
falsche Informationen darstellen.

CVE-2017-7233: Schwachstelle in Django ermöglicht Darstellung falscher
Informationen und Cross-Site-Scripting-Angriff

Django verwendet an einigen Stellen im Programmcode Benutzereingaben, um
Benutzer an eine bestimmte URL weiterzuleiten. Die Prüfung der
Benutzereingaben erfolgt in der Funktion ‘django.utils.http.is_safe_url’.
Diese Funktion sieht einige numerische URLs als sicher an, obwohl diese
unsicher sind. Ein entfernter, nicht authentisierter Angreifer kann dies für
die Darstellung falscher Informationen ausnutzen (Open Redirect). Ein
Cross-Site-Scripting-Angriff ist ebenfalls möglich, wenn der Angreifer einen
Entwickler der Anwendung dazu verleitet, solche eine numerische URL in einem
Link zu verwenden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0578/

Django security releases issued: 1.10.7, 1.9.13, and 1.8.18:
https://www.djangoproject.com/weblog/2017/apr/04/security-releases/

Ubuntu Security Notice USN-3254-1:
http://www.ubuntu.com/usn/usn-3254-1/

Schwachstelle CVE-2017-7233 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7233

Schwachstelle CVE-2017-7234 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7234

Fedora Security Update FEDORA-2017-f997e46fa7 (Fedora 26,
python-django-1.10.7-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-f997e46fa7

Fedora Security Update FEDORA-2017-c0ef6054d7 (Fedora 25,
python-django-1.9.13-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-c0ef6054d7

Red Hat Security Advisory RHSA-2017:1445:
http://rhn.redhat.com/errata/RHSA-2017-1445.html

Red Hat Security Advisory RHSA-2017:1451:
http://rhn.redhat.com/errata/RHSA-2017-1451.html

Red Hat Security Advisory RHSA-2017:1462:
http://rhn.redhat.com/errata/RHSA-2017-1462.html

Red Hat Security Advisory RHSA-2017:1470:
http://rhn.redhat.com/errata/RHSA-2017-1470.html

Red Hat Security Advisory RHSA-2017:1596:
http://rhn.redhat.com/errata/RHSA-2017-1596.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben