UPDATE: DFN-CERT-2014-0603 Django: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen [Linux][Fedora]

UPDATE: DFN-CERT-2014-0603 Django: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (19.05.2014):
Fedora bietet Sicherheitsupdates für Fedora 19, 20 und EPEL 6 an.
Version 1 (16.05.2014):
Neues Advisory

Betroffene Software:

django <= 1.4.12 django <= 1.5.7 django <= 1.6.4 django <= 1.7 beta 3 Betroffene Plattformen: Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 12.10 Canonical Ubuntu Linux 13.10 Canonical Ubuntu Linux 14.04 Lts Red Hat Fedora 19 Red Hat Fedora 20 Extra Packages for Red Hat Enterprise Linux 6 Durch zwei Schwachstelle in Django ist es einem entfernten, nicht authentifizierten Angreifer möglich, Daten aus fremden Sitzungen auszuspähen oder in diese einzuschleusen sowie Benutzer auf schädliche URLs umzuleiten. Patch: Ubuntu Security Notice USN-2212-1 http://www.ubuntu.com/usn/usn-2212-1/

Patch:

Fedora Security Update FEDORA-2014-6440

https://admin.fedoraproject.org/updates/FEDORA-2014-6440/python-django15-1.5.8-1.fc20

Patch:

Fedora Security Update FEDORA-2014-6442

https://admin.fedoraproject.org/updates/FEDORA-2014-6442/python-django14-1.4.13-1.fc20

Patch:

Fedora Security Update FEDORA-2014-6449

https://admin.fedoraproject.org/updates/FEDORA-2014-6449/python-django-1.6.5-1.fc20

Patch:

Fedora Security Update FEDORA-2014-6454

https://admin.fedoraproject.org/updates/FEDORA-2014-6454/python-django-1.5.8-1.fc19

Patch:

Fedora Security Update FEDORA-EPEL-2014-1434

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-1434/Django14-1.4.13-1.el6

CVE-2014-3730: Schwachstelle in Django

Die Überprüfung auf Umleitungen funktioniert bei manchen URLs, die von
einigen Browsern akzeptiert werden, nicht korrekt. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um Benutzer
unerwartet auf unsichere URLs umzuleiten.

CVE-2014-1418: Schwachstelle in Django

Django entfernt unsachgemäß Vary- und Cache-Control-Header von
HTTP-Antworten bei Anfragen von diversen Browsern. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle in der
Sitzungsverwaltung nutzen, um private Daten abzugreifen oder schädlichen
Inhalt in den Cache zu injizieren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0603/

Ubuntu Security Notice USN-2212-1:
http://www.ubuntu.com/usn/usn-2212-1/

Schwachstelle CVE-2014-1418 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1418

Schwachstelle CVE-2014-3730 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3730

Fedora Security Update FEDORA-2014-6440:
https://admin.fedoraproject.org/updates/FEDORA-2014-6440/python-django15-1.5.8-1.fc20

Fedora Security Update FEDORA-2014-6442:
https://admin.fedoraproject.org/updates/FEDORA-2014-6442/python-django14-1.4.13-1.fc20

Fedora Security Update FEDORA-2014-6449:
https://admin.fedoraproject.org/updates/FEDORA-2014-6449/python-django-1.6.5-1.fc20

Fedora Security Update FEDORA-2014-6454:
https://admin.fedoraproject.org/updates/FEDORA-2014-6454/python-django-1.5.8-1.fc19

Fedora Security Update FEDORA-EPEL-2014-1434:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-1434/Django14-1.4.13-1.el6

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben