Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Django

Betroffene Plattformen:

Extra Packages for Red Hat Enterprise Linux 7

Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um einen Denial-of-Service-Zustand zu bewirken.
Für Fedora EPEL 7 steht ein Sicherheitsupdate in Form des Paketes
python-django-1.6.11-2.el7 im Status ‘testing’ zur Verfügung.

Patch:

Fedora Security Update FEDORA-EPEL-2015-7249

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-7249/python-django-1.6.11-2.el7

CVE-2015-5143: Schwachstelle in Django ermöglicht einen
Denial-of-Service-Angriff

Das Sitzungs-Backend erstellt neue leere Sitzungseinträge im
Sitzungsspeicher jedes mal dann, wenn auf request.session zugegriffen wird
und der Sitzungsschlüssel in den Anfrage-Cookies zu keinem Sitzungseintrag
gehört. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, indem er viele neue Sitzungseinträge durch das
wiederholte Senden von Anfragen mit unbekannten Sitzungsschlüsseln erzeugt,
um den Sitzungsspeicher zu fluten oder Sitzungseinträge anderer Benutzer zu
sabotieren (Denial-of-Service).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1099/

Schwachstelle CVE-2015-5143 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5143

Fedora Security Update FEDORA-EPEL-2015-7249:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-7249/python-django-1.6.11-2.el7

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.