[Fedora] Schwachstelle in Django – FEDORA-2010-14745

[Fedora] Schwachstelle in Django - FEDORA-2010-14745

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-3082 – Schwachstelle im Django Web Framework

Die in Django enthaltene Funktion zur Verhinderung von Cross-Site
Request Forgery Attacken enthaelt eine Schwachstelle bei der Ueberpruefung
von CRSF-Token in Cookies und HTML-Forms. Wird ein solches Formular oder
Cookie gelesen so wird vor der Ueberpruefung des Tokens keine
Bereinigung des Token-Wertes auf unzulaessige Inhalte durchgefuehrt.
Ein Angreifer kann diese Schwachstelle ausnutzen, um beliebigen
Schadcode in die Anwendung einzuschleusen und im Kontext des Web
Frameworks auszufuehren.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket Django

Fedora 14

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Torsten Voss

– —

Dipl.-Ing.(FH) Torsten Voss (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-14745
2010-09-15 06:48:56
– ——————————————————————————–

Name : Django
Product : Fedora 14
Version : 1.2.3
Release : 1.fc14
URL : http://www.djangoproject.com/
Summary : A high-level Python Web framework
Description :
Django is a high-level Python Web framework that encourages rapid
development and a clean, pragmatic design. It focuses on automating as
much as possible and adhering to the DRY (Don’t Repeat Yourself)
principle.

– ——————————————————————————–
Update Information:

“””
Today the Django team has released Django 1.2.3, which remedies several issues with the recent 1.2.2 package.

This package corrects the following problems:

* The patch applied for the security issue covered in Django 1.2.2 caused issues with non-ASCII responses using CSRF tokens. This has been remedied.
* The patch also caused issues with some forms, most notably the user-editing forms in the Django administrative interface. This has been remedied.
* The packaging manifest did not contain the full list of required files. This has been remedied.
“””

See: http://www.djangoproject.com/weblog/2010/sep/10/123/
See http://www.djangoproject.com/weblog/2010/sep/08/security-release/
– ——————————————————————————–
References:

[ 1 ] Bug #632239 – CVE-2010-3082 Django CSRF flaw
https://bugzilla.redhat.com/show_bug.cgi?id=632239
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update Django’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iEYEARECAAYFAkycn1gACgkQWmhIvjFb90XQ0wCeLxsmYgRL17cCp6+ojcZiPUuC
pm0AnAxd0yFcxpahw81TjCLhcdG6vgTm
=H2YN
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben