Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (26.10.2015):
Für openSUSE 13.2 steht ein Sicherheitsupdate bereit, welches die
Schwachstelle CVE-2015-5145 jedoch nicht umfasst.
Version 3 (22.10.2015):
Für openSUSE 13.1 steht ein Sicherheitsupdate bereit, welches die
Schwachstelle CVE-2015-5145 jedoch nicht umfasst.
Version 2 (14.07.2015):
Für Fedora EPEL 6 steht ein Sicherheitsupdate im Status ‘testing’ bereit.
Version 1 (14.07.2015):
Neues Advisory

Betroffene Software:

Django <= 1.4.20 Django <= 1.7.8 Django <= 1.8.2 Betroffene Plattformen: Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Canonical Ubuntu Linux 15.04 Debian Linux 7.8 Wheezy Debian Linux 8.1 Jessie GNU/Linux openSUSE 13.1 openSUSE 13.2 Red Hat Fedora 22 Extra Packages for Red Hat Enterprise Linux 6 Mehrere Schwachstellen in Django ermöglichen einem entfernten, nicht authentifizierten Angreifer, Denial-of-Service-Zustände herbeizuführen oder Header z.B. in HTTP- oder Mail-Daten einzuschleusen. Das Django-Projekt stellt zur Bereinigung der Schwachstellen die Versionen 1.8.3, 1.7.9 und 1.4.21 bereit, wobei die Schwachstelle CVE-2015-5145 nur für Django 1.8 relevant ist. Für Ubuntu 15.04, 14.10, 14.04 LTS, 12.04 LTS sowie Debian 7.8 (Wheezy) und 8.1 (Jessie) werden Backport-Sicherheitsupdates angeboten, die die Schwachstellen CVE-2015-5143 und CVE-2015-5144 beheben. Patch: Debian Security Advisory DSA-3305-1 https://www.debian.org/security/2015/dsa-3305

Patch:

Ubuntu Security Notice USN-2671-1

http://www.ubuntu.com/usn/usn-2671-1/

Patch:

Django Security Advisory 2015-07-08

https://www.djangoproject.com/weblog/2015/jul/08/security-releases/

Patch:

Fedora Security Update FEDORA-2015-11403

https://admin.fedoraproject.org/updates/FEDORA-2015-11403/python-django-1.8.3-1.fc22

Patch:

Fedora Security Update FEDORA-EPEL-2015-7198

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-7198/Django14-1.4.21-1.el6

Patch:

openSUSE Security Update openSUSE-SU-2015:1802-1

http://lists.opensuse.org/opensuse-updates/2015-10/msg00043.html

Patch:

openSUSE Security Update openSUSE-SU-2015:1813-1

http://lists.opensuse.org/opensuse-updates/2015-10/msg00046.html

CVE-2015-5145: Schwachstelle in Django ermöglicht einen
Denial-of-Service-Angriff

In django.core.validators.URLValidator wird ein regulärer Ausdruck
verwendet, der extrem langsam bei bestimmten Eingaben ausgewertet wird. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle für
einen Denial-of-Service-Angriff ausnutzen.

CVE-2015-5144: Schwachstelle in Django ermöglicht einen
Header-Injection-Angriff

Einige Korrektheitsprüfungen von Django (z.B.
django.core.validators.EmailValidator) verbieten den Einsatz von
Zeilenumbrüchen aufgrund der Benutzung von ‘$’ anstelle von ‘\Z’ in
regulären Ausdrücken nicht. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um Header z.B. in HTTP- oder
Mail-Nachrichten einzuschleusen.

CVE-2015-5143: Schwachstelle in Django ermöglicht einen
Denial-of-Service-Angriff

Das Sitzungs-Backend erstellt neue leere Sitzungseinträge im
Sitzungsspeicher jedes mal dann, wenn auf request.session zugegriffen wird
und der Sitzungsschlüssel in den Anfrage-Cookies zu keinem Sitzungseintrag
gehört. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, indem er viele neue Sitzungseinträge durch das
wiederholte Senden von Anfragen mit unbekannten Sitzungsschlüsseln erzeugt,
um den Sitzungsspeicher zu fluten oder Sitzungseinträge anderer Benutzer zu
sabotieren (Denial-of-Service).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1009/

Debian Security Advisory DSA-3305-1:
https://www.debian.org/security/2015/dsa-3305

Ubuntu Security Notice USN-2671-1:
http://www.ubuntu.com/usn/usn-2671-1/

Schwachstelle CVE-2015-5143 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5143

Schwachstelle CVE-2015-5144 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5144

Schwachstelle CVE-2015-5145 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5145

Django Security Advisory 2015-07-08:
https://www.djangoproject.com/weblog/2015/jul/08/security-releases/

Fedora Security Update FEDORA-2015-11403:
https://admin.fedoraproject.org/updates/FEDORA-2015-11403/python-django-1.8.3-1.fc22

Fedora Security Update FEDORA-EPEL-2015-7198:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-7198/Django14-1.4.21-1.el6

openSUSE Security Update openSUSE-SU-2015:1802-1:
http://lists.opensuse.org/opensuse-updates/2015-10/msg00043.html

openSUSE Security Update openSUSE-SU-2015:1813-1:
http://lists.opensuse.org/opensuse-updates/2015-10/msg00046.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (22.10.2015):
Für openSUSE 13.1 steht ein Sicherheitsupdate bereit, welches die
Schwachstelle CVE-2015-5145 jedoch nicht umfasst.
Version 2 (14.07.2015):
Für Fedora EPEL 6 steht ein Sicherheitsupdate im Status ‘testing’ bereit.
Version 1 (14.07.2015):
Neues Advisory

Betroffene Software:

Django <= 1.4.20 Django <= 1.7.8 Django <= 1.8.2 Betroffene Plattformen: Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Canonical Ubuntu Linux 15.04 Debian Linux 7.8 Wheezy Debian Linux 8.1 Jessie GNU/Linux openSUSE 13.1 Red Hat Fedora 22 Extra Packages for Red Hat Enterprise Linux 6 Mehrere Schwachstellen in Django ermöglichen einem entfernten, nicht authentifizierten Angreifer, Denial-of-Service-Zustände herbeizuführen oder Header z.B. in HTTP- oder Mail-Daten einzuschleusen. Das Django-Projekt stellt zur Bereinigung der Schwachstellen die Versionen 1.8.3, 1.7.9 und 1.4.21 bereit, wobei die Schwachstelle CVE-2015-5145 nur für Django 1.8 relevant ist. Für Ubuntu 15.04, 14.10, 14.04 LTS, 12.04 LTS sowie Debian 7.8 (Wheezy) und 8.1 (Jessie) werden Backport-Sicherheitsupdates angeboten, die die Schwachstellen CVE-2015-5143 und CVE-2015-5144 beheben. Patch: Debian Security Advisory DSA-3305-1 https://www.debian.org/security/2015/dsa-3305

Patch:

Ubuntu Security Notice USN-2671-1

http://www.ubuntu.com/usn/usn-2671-1/

Patch:

Django Security Advisory 2015-07-08

https://www.djangoproject.com/weblog/2015/jul/08/security-releases/

Patch:

Fedora Security Update FEDORA-2015-11403

https://admin.fedoraproject.org/updates/FEDORA-2015-11403/python-django-1.8.3-1.fc22

Patch:

Fedora Security Update FEDORA-EPEL-2015-7198

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-7198/Django14-1.4.21-1.el6

Patch:

openSUSE Security Update openSUSE-SU-2015:1802-1

http://lists.opensuse.org/opensuse-updates/2015-10/msg00043.html

CVE-2015-5145: Schwachstelle in Django ermöglicht einen
Denial-of-Service-Angriff

In django.core.validators.URLValidator wird ein regulärer Ausdruck
verwendet, der extrem langsam bei bestimmten Eingaben ausgewertet wird. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle für
einen Denial-of-Service-Angriff ausnutzen.

CVE-2015-5144: Schwachstelle in Django ermöglicht einen
Header-Injection-Angriff

Einige Korrektheitsprüfungen von Django (z.B.
django.core.validators.EmailValidator) verbieten den Einsatz von
Zeilenumbrüchen aufgrund der Benutzung von ‘$’ anstelle von ‘\Z’ in
regulären Ausdrücken nicht. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um Header z.B. in HTTP- oder
Mail-Nachrichten einzuschleusen.

CVE-2015-5143: Schwachstelle in Django ermöglicht einen
Denial-of-Service-Angriff

Das Sitzungs-Backend erstellt neue leere Sitzungseinträge im
Sitzungsspeicher jedes mal dann, wenn auf request.session zugegriffen wird
und der Sitzungsschlüssel in den Anfrage-Cookies zu keinem Sitzungseintrag
gehört. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, indem er viele neue Sitzungseinträge durch das
wiederholte Senden von Anfragen mit unbekannten Sitzungsschlüsseln erzeugt,
um den Sitzungsspeicher zu fluten oder Sitzungseinträge anderer Benutzer zu
sabotieren (Denial-of-Service).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1009/

Debian Security Advisory DSA-3305-1:
https://www.debian.org/security/2015/dsa-3305

Ubuntu Security Notice USN-2671-1:
http://www.ubuntu.com/usn/usn-2671-1/

Schwachstelle CVE-2015-5143 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5143

Schwachstelle CVE-2015-5144 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5144

Schwachstelle CVE-2015-5145 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5145

Django Security Advisory 2015-07-08:
https://www.djangoproject.com/weblog/2015/jul/08/security-releases/

Fedora Security Update FEDORA-2015-11403:
https://admin.fedoraproject.org/updates/FEDORA-2015-11403/python-django-1.8.3-1.fc22

Fedora Security Update FEDORA-EPEL-2015-7198:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-7198/Django14-1.4.21-1.el6

openSUSE Security Update openSUSE-SU-2015:1802-1:
http://lists.opensuse.org/opensuse-updates/2015-10/msg00043.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.