2016-0363: Python Django: Zwei Schwachstellen ermöglichen u.a. Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2016-03-02 15:59)

Neues Advisory

Version 2 (2016-03-03 12:26)

Für Fedora 22 und Fedora 23 stehen Sicherheitsupdates auf die Python Django Version 1.8.10 im Status 'testing' zur Verfügung.

Version 3 (2016-03-07 11:05)

Für Fedora EPEL 7 steht ein Sicherheitsupdate in Form des Paketes python-django-1.6.11-5.el7 im Status 'testing' zur Verfügung.

Version 4 (2016-03-07 16:21)

Zur Behebung einer über das Update auf Version 1.8.10 eingeführten Regression stehen für die Distributionen Fedora 22 und Fedora 23 neue Sicherheitsupdates in Form der Pakete python-django-1.8.11-1.fc22 und python-django-1.8.11-1.fc23 im Status 'pending' bereit. Die zuvor erstellten Sicherheitsupdates FEDORA-2016-8c470e191b und FEDORA-2016-040577033c wurden in den Status 'obsolete' überführt. Für die Distributionen Ubuntu 14.04 LTS und Ubuntu 15.10 wurde über das Sicherheitsupdate USN-2915-1 ebenfalls eine Regression eingeführt, die Canonical über die Bereitstellung des Updates USN-2915-2 behebt.

Version 5 (2016-03-08 12:22)

Für die Distributionen Ubuntu 14.04 LTS und 15.10 wurde mit dem Sicherheitsupdate USN-2915-1 eine Regression eingeführt, die Canonical durch Bereitstellung des kompletten Upstream Regression Fixes mit Update USN-2915-3 behebt.

Version 6 (2016-03-24 10:52)

Red Hat stellt für die OpenStack Platform 5.0 (Icehouse), 6.0 (Juno), 7.0 (Kilo) und Operational Tools für Red Hat Enterprise Linux 7 sowie für Icehouse auf Red Hat Enterprise Linux 6 Sicherheitsupdates für Python Django bereit.

Version 7 (2016-04-08 12:38)

Für die Debian Distributionen Wheezy, Jessie und Strecht stehen Sicherheitsupdates, teilweise über Backports, zur Verfügung.

Betroffene Software

Entwicklung
Netzwerk
Server

Betroffene Plattformen

Linux

Beschreibung:

Zwei Schwachstellen in Python Django ermöglichen einem entfernten, nicht authentifizierten Angreifer Benutzer auf schädliche Websites umzuleiten, Cross-Site-Scripting (XSS)-Angriffe durchzuführen und gültige Benutzernamen zu ermitteln (User Enumeration).

Canonical stellt verschiedene Backport-Sicherheitsupdates für die Distributionen Ubuntu 15.10, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS zur Verfügung.

Schwachstellen:

CVE-2016-2512

Schwachstelle in Django ermöglicht Cross-Site-Scripting-Angriffe

CVE-2016-2513

Schwachstelle in Django ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.