2019-1574: Django: Mehrere Schwachstellen ermöglichen u. a. einen SQL-Injection-Angriff
Historie:
- Version 1 (2019-08-02 12:16)
- Neues Advisory
- Version 2 (2019-08-07 12:18)
- Für Fedora 30 und Fedora EPEL 7 stehen Sicherheitsupdates in Form der Pakete 'python-django-2.1.11-1.fc30' bzw. 'python-django-1.11.23-1.el7' im Status 'testing' bereit, um diese Schwachstellen zu beheben.
- Version 3 (2019-08-13 15:01)
- Für die Debian Distributionen Stretch (oldstable) und Buster (stable) stehen Sicherheitsupdates für 'python-django' auf die Versionen 9.26a~dfsg-0+deb9u4 und 9.27~dfsg-2+deb10u1 zur Verfügung.
- Version 4 (2019-08-20 13:02)
- Für SUSE OpenStack Cloud 7 steht ein Sicherheitsupdate für das Paket 'python-Django' zur Behebung der Schwachstellen bereit.
Betroffene Software
Entwicklung
Server
Betroffene Plattformen
Netzwerk
Cloud
Linux
Microsoft
Beschreibung:
Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in Django ausnutzen, um beliebige SQL-Kommandos einszuchleusen und zur Ausführung zu bringen (SQL Injection). Aufgrund weiterer Schwachstellen kann ein solcher Angreifer zudem verschiedene Denial-of-Service (DoS)-Angriffe durchführen.
Der Hersteller stellt Django in den Versionen 2.2.4, 2.1.11 und 1.11.23 als Sicherheitsupdate bereit.
Canonical veröffentlicht Backport-Sicherheitsupdates fürt 'python-django' zur Behebung der Schwachstellen in Ubuntu 19.04, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS.
Schwachstellen:
CVE-2019-14232
Schwachstelle in Django ermöglicht Denial-of-Service-AngriffCVE-2019-14233
Schwachstelle in Django ermöglicht Denial-of-Service-AngriffCVE-2019-14234
Schwachstelle in Django ermöglicht SQL-Injection-AngriffCVE-2019-14235
Schwachstelle in Django ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.