2019-2669: Django: Eine Schwachstelle ermöglicht das Erlangen von Benutzerrechten

Historie:

Version 1 (2019-12-18 13:17)

Neues Advisory

Version 2 (2019-12-19 11:06)

Canonical stellt für die Distributionen Ubuntu 19.10, Ubuntu 19.04, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS Sicherheitsupdates zur Behebung der Schwachstelle bereit. Debian behebt die Schwachstelle für Debian 8 Jessie (LTS).

Version 3 (2020-01-08 09:56)

Für Fedora 31 sowie Fedora EPEL 7 und 8 stehen Sicherheitsupdates in Form der Pakete 'python-django-2.2.9-1.fc31', 'python-django-1.11.27-1.el7' und 'python-django-2.2.9-1.el8' im Status 'pending' bereit, um die Schwachstelle zu beheben. Debian stellt für Debian 9 Stretch (oldstable) und Debian 10 Buster (stable) Backport-Sicherheitsupdates bereit.

Version 4 (2024-04-08 17:38)

Canonical stellt für Ubuntu 14.04 ESM ein Sicherheitsupdate für 'python-django' bereit, um die Schwachstelle zu beheben.

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um ein Passwort-Reset-Token für ein Benutzerkonto zu erhalten und in der Folge dieses zu übernehmen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.

Der Hersteller veröffentlicht Django 3.0.1, 2.2.9, und 1.11.27 als Sicherheitsupdates zur Behebung der Schwachstelle.

Schwachstellen:

CVE-2019-19844

Schwachstelle in Django ermöglicht Erlangen von Benutzerrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.