Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

django <= 1.4.12 django <= 1.5.7 django <= 1.6.4 django <= 1.7 beta 3 Betroffene Plattformen: Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 12.10 Canonical Ubuntu Linux 13.10 Canonical Ubuntu Linux 14.04 Lts Durch zwei Schwachstelle in Django ist es einem entfernten, nicht authentifizierten Angreifer möglich, Daten aus fremden Sitzungen auszuspähen oder in diese einzuschleusen sowie Benutzer auf schädliche URLs umzuleiten. Patch: Ubuntu Security Notice USN-2212-1 http://www.ubuntu.com/usn/usn-2212-1/

CVE-2014-3730: Schwachstelle in Django

Die Überprüfung auf Umleitungen funktioniert bei manchen URLs, die von
einigen Browsern akzeptiert werden, nicht korrekt. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um Benutzer
unerwartet auf unsichere URLs umzuleiten.

CVE-2014-1418: Schwachstelle in Django

Django entfernt unsachgemäß Vary- und Cache-Control-Header von
HTTP-Antworten bei Anfragen von diversen Browsern. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle in der
Sitzungsverwaltung nutzen, um private Daten abzugreifen oder schädlichen
Inhalt in den Cache zu injizieren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0603/

Ubuntu Security Notice USN-2212-1:
http://www.ubuntu.com/usn/usn-2212-1/

Schwachstelle CVE-2014-1418 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1418

Schwachstelle CVE-2014-3730 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3730

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.