Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
django
Betroffene Plattformen:
Canonical Ubuntu Linux 10.04 Lts
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 12.10
Canonical Ubuntu Linux 13.10
Canonical Ubuntu Linux 14.04 Lts
Red Hat Fedora 20
Extra Packages for Red Hat Enterprise Linux 6
Ein entfernter, nicht authentifizierter Angreifer kann beliebigen
Programmcode zur Ausführung bringen, CSRF Cookies auslesen sowie
unvorhergesehenes Verhalten hervorrufen.
Die Fedora Patches beheben nur die Schwachstellen CVE-2014-0473 und
CVE-2014-0474.
Patch:
Ubuntu Security Notice USN-2169-2
http://www.ubuntu.com/usn/usn-2169-2/
Patch:
Ubuntu Security Notice USN-2169-1
http://www.ubuntu.com/usn/usn-2169-1/
Patch:
Fedora Update FEDORA-2014-5503
https://admin.fedoraproject.org/updates/FEDORA-2014-5503/python-django-1.6.3-1.fc20
Patch:
Fedora Update FEDORA-2014-5486
https://admin.fedoraproject.org/updates/FEDORA-2014-5486/python-django15-1.5.6-1.fc20
Patch:
Fedora Update FEDORA-2014-5475
https://admin.fedoraproject.org/updates/FEDORA-2014-5475/python-django14-1.4.11-1.fc20
Patch:
Fedora Hersteller-Advisory
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-1206/Django14-1.4.11-1.el6
CVE-2014-0474: Schwachstelle in python-django
Es besteht eine Schwachstelle beim typecast von MySQL Datenbank Anfragen
innerhalb der Modell Klassen “FilePathField”, “GenericIPAddressField” und
“IPAddressField”. Ein entfernter, nicht authentifizierter Angreifer kann
diese Schwachstelle nutzen um unvorhergesehenes Verhalten zu provozieren.
CVE-2014-0473: Schwachstelle in python-django
Es besteht eine Schwachstelle beim Zwischenspeichern von anonymen Webseiten
innerhalb der CSRF (Cross-Site Request Forgery) Funktion. Ein entfernter,
nicht authentifizierter Angreifer kann durch den Erstzugriff den Nonce Wert
weiterer Zugriffe auslesen, und damit valide CSRF Cookies in seinen Besitz
bringen.
CVE-2014-0472: Schwachstelle in python-django
Es besteht eine Schwachstelle bei der Verarbeitung von “dotted paths”
innerhalb der “reverse” Funktion. Ein entfernter, nicht authentifizierter
Angreifer kann speziell modifizierte Module laden lassen, und somit
beliebigen Programmcode zur Ausführung bringen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0485/
Ubuntu Security Notice USN-2169-2:
http://www.ubuntu.com/usn/usn-2169-2/
Ubuntu Security Notice USN-2169-1:
http://www.ubuntu.com/usn/usn-2169-1/
Schwachstelle CVE-2014-0472 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0472
Schwachstelle CVE-2014-0473 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0473
Schwachstelle CVE-2014-0474 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0474
Fedora Update FEDORA-2014-5503:
https://admin.fedoraproject.org/updates/FEDORA-2014-5503/python-django-1.6.3-1.fc20
Fedora Update FEDORA-2014-5486:
https://admin.fedoraproject.org/updates/FEDORA-2014-5486/python-django15-1.5.6-1.fc20
Fedora Update FEDORA-2014-5475:
https://admin.fedoraproject.org/updates/FEDORA-2014-5475/python-django14-1.4.11-1.fc20
Fedora Hersteller-Advisory:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-1206/Django14-1.4.11-1.el6
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
