Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
django <= 1.4.7 django <= 1.5.3 django <= 1.6 Beta 3 Python Canonical Ubuntu Linux <= 10.04 Lts Canonical Ubuntu Linux <= 12.04 Lts Canonical Ubuntu Linux <= 12.10 Canonical Ubuntu Linux <= 13.04 Debian Linux <= 6.2 Debian Linux <= 7.1 Red Hat Enterprise Linux <= 6 Red Hat Fedora <= 18 Red Hat Fedora <= 19 Red Hat Fedora <= 20 Betroffene Plattformen: Debian Fedora Linux RedHat Ubuntu UNIX Eine Schwachstelle in Django erlaubt einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service Angriff durchzuführen. Unter Umständen kann ein Angreifer eine weitere Schwachstelle für einen Directory-Traversal Angriff ausnutzen. Patch: Debian Security Advisory DSA-2755 http://www.debian.org/security/2013/dsa-2755
Patch:
Django Projectsite Downloadseite
https://www.djangoproject.com/download/
Patch:
Debian Security Advisory DSA-2758
http://www.debian.org/security/2013/dsa-2758
Patch:
Fedora Update FEDORA-2013-16938
https://admin.fedoraproject.org/updates/FEDORA-2013-16938/python-django-1.5.4-1.fc20
Patch:
Fedora Update FEDORA-2013-16901
https://admin.fedoraproject.org/updates/FEDORA-2013-16901/python-django-1.5.4-1.fc19
Patch:
Ubuntu Security Notice USN-1967-1
http://www.ubuntu.com/usn/usn-1967-1/
CVE-2013-1443: Django: Eine Schwachstelle ermöglicht Denial of Service
Angriffe
In verschiedenen Django Versionen verursacht die Berechnung von Hashes aus
extrem langen Passwörtern hohe CPU-Ressourcen. Ein entfernter, nicht
authentisierter Angreifer kann mittels wiederholter Eingabe von langen
Passwörtern die Verfügbarkeit des Servers drastisch einschränken (Denial of
Service).
CVE-2013-4315: Schwachstelle durch “ssi” Template-Tags bei python-django
Die Schwachstelle erlaubt die Referenzierung von Verzeichnissen, die
eigentlich nicht zugänglich sein sollten. Die dafür vorgesehene Einstellung
“ALLOWED_INCLUDE_ROOTS” bestimmt das Präfix für {% ssi %} Templates, jedoch
kann ausgehend von diesem absoluten Pfad mit relativen Pfaden aus dem
vorgesehenen Bereich “ausgebrochen” werden.
Damit der Angriff erfolgreich ist, muss der Angreifer jedoch in der Lage
sein, entsprechende Vorlagen zu ändern, oder Eingabemöglichkeiten für
Benutzer werden nicht ausreichend geprüft und bereinigt, so dass relative
Pfade für das “ssi”-Tag angegeben oder erzeugt werden können.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1696/
Schwachstelle CVE-2013-4315 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-4315
Informationen des Django-Projekts:
https://www.djangoproject.com/weblog/2013/sep/10/security-releases-issued/
Schwachstelle CVE-2013-4315 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4315
Debian Security Advisory DSA-2755:
http://www.debian.org/security/2013/dsa-2755
Schwachstelle CVE-2013-1443 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-1443
Django Projectsite Weblog:
https://www.djangoproject.com/weblog/2013/sep/15/security/
Django Projectsite Downloadseite:
https://www.djangoproject.com/download/
Schwachstelle CVE-2013-1443 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1443
Debian Security Advisory DSA-2758:
http://www.debian.org/security/2013/dsa-2758
Fedora Update FEDORA-2013-16938:
https://admin.fedoraproject.org/updates/FEDORA-2013-16938/python-django-1.5.4-1.fc20
Fedora Update FEDORA-2013-16901:
https://admin.fedoraproject.org/updates/FEDORA-2013-16901/python-django-1.5.4-1.fc19
Ubuntu Security Notice USN-1967-1:
http://www.ubuntu.com/usn/usn-1967-1/
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
