DFN-CERT-2012-1553 Mehrere Schwachstellen in Django [Linux][Fedora]

DFN-CERT-2012-1553 Mehrere Schwachstellen in Django [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket Django

Betroffene Plattformen:

Fedora 16
Fedora 17

Mehrere Schwachstellen in Python-Django ermöglichen einem entfernten
Angreifer schlimmstenfalls beliebige Befehle im Kontext des Browsers eines
Benutzers zur Ausführung zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2012-3444: Denial-of-Service-Schwachstelle in Python-Django

Django in den Versionen 1.3.x vor Version 1.3.2 und 1.4.x vor Version 1.4.1
enthält in der Funktion get_image_dimensions() eine Schwachstelle beim
Bestimmen der Größe einer Bilddatei. Diese erlaubt einem entfernten
Angreifer durch das Bereitstellen von präparierten TIFF-Dateien einen
Denial-of-Service-Zustand (hohe Prozessauslastung) herbeizuführen.

CVE-2012-3442: Cross-site Scripting Schwachstelle in Python-Django

Django in den Versionen 1.3.x vor Version 1.3.2 und 1.4.x vor Version 1.4.1
enthält in den Views ‘Login()’ und ‘Logout()’ eine “Cross-site
Scripting”-Schwachstelle. Dadurch ist es einem entfernten Angreifer möglich
beliebige HTML- und Script-Befehle im Kontext des Browsers zur Ausführung zu
bringen.

CVE-2012-3443: Denial-of-Service-Schwachstelle in Python-Django

In Django in den Versionen 1.3.x vor Version 1.3.2 und 1.4.x vor Version
1.4.1 werden in der Klasse ‘django.forms.ImageField’ Bilddaten während der
Validierung eines Bildes komplett dekomprimiert. Dies erlaubt einem
entfernten Angreifer durch das Bereitstellen von präparierten Bild-Dateien
einen Denial-of-Service-Zustand (hohe Speicherauslastung) herbeizuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1553/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2012-August/084883.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-August/084913.html

Schwachstelle CVE-2012-3442:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3442

Schwachstelle CVE-2012-3443:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3443

Schwachstelle CVE-2012-3444:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3444

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben