DFN-CERT

Advisory-Archiv

2019-0028: Django: Eine Schwachstelle ermöglicht die Darstellung falscher Informationen

Historie:

Version 1 (2019-01-07 14:25)
Neues Advisory
Version 2 (2019-01-09 15:41)
Für die stabile Distribution Debian Stretch steht ein Backport-Sicherheitsupdate im Versionszweig 1.10.7 bereit, um die Schwachstelle zu beheben.
Version 3 (2019-01-10 10:13)
Canonical veröffentlicht für die Distributionen Ubuntu 14.04 LTS, Ubuntu 16.04 LTS, Ubuntu 18.04 LTS und Ubuntu 18.10 Sicherheitsupdates für 'python-django', um die Schwachstelle zu beheben.
Version 4 (2019-02-25 16:37)
Für SUSE OpenStack Cloud 7 steht ein Sicherheitsupdate für 'python-Django' zur Behebung der Schwachstelle bereit.

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in Python Django ausnutzen, mit Hilfe einer schädlich präparierten URL, um gefälschte Inhalte auf der voreingestellten Fehlerseite '404' anzuzeigen. Hat der Angreifer die URL so präpariert, dass sie auf eine von ihm kontrollierte Seite weiterleitet, ermöglicht das dem Angreifer eine Vielzahl weiterer Angriffe wie z. B. einen Phishing-Angriff.

Der Hersteller veröffentlicht die offiziellen Releases Django 2.1.5, 2.0.10 und 1.11.18 als Sicherheitsupdates zur Behebung der Schwachstelle.

Für Debian 8 Jessie (LTS) steht ein Backport-Sicherheitsupdate im Versionszweig 1.7.11 bereit, um die Schwachstelle zu beheben.

Für Fedora 28 und 29 sowie Fedora EPEL 7 stehen Sicherheitsupdates in Form der Pakete 'python-django-2.0.10-1.fc28', 'python-django-2.0.10-1.fc29' und 'python-django-1.11.18-1.el7' zur Verfügung, welche sich derzeit noch im Status 'pending' befinden.

Schwachstellen:

CVE-2019-3498

Schwachstelle in Django ermöglicht Darstellen falscher Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.