2021-1197: Django: Mehrere Schwachstellen ermöglichen u. a. das Ausspähen von Informationen

Historie:

Version 1 (2021-06-02 18:22)

Neues Advisory

Version 2 (2021-06-04 12:56)

Der Hersteller informiert über die Schwachstellen und empfiehlt zu deren Behebung ein Update für Django auf die Versionen 3.2.4, 3.1.12 oder 2.2.24. Die Schwachstelle CVE-2021-32052 wurde bereits mit den Django Versionen 3.2.2, 3.1.10 und 2.2.22 behoben.

Version 3 (2021-06-07 09:17)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'python-django' in Version 1:1.10.7-2+deb9u14 bereit, um die Schwachstellen CVE-2021-33203 und CVE-2021-33571 zu beheben.

Version 4 (2021-06-07 18:56)

Canonical stellt das zu USN-4975-1 korrespondierende Sicherheitsupdate für Ubuntu 16.04 ESM zur Behebung der Schwachstelle CVE-2021-33203 in 'python-django' bereit.

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen Sicherheitsvorkehrungen zu umgehen und weitere, nicht spezifizierte Angriffe durchzuführen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Canonical stellt für Ubuntu 21.04, Ubuntu 20.10, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für 'python-django' zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2021-32052

Schwachstelle in Django / Python ermöglicht u. a. Manipulation von Dateien

CVE-2021-33203

Schwachstelle in Django ermöglicht Ausspähen von Informationen

CVE-2021-33571

Schwachstelle in Django ermöglicht u. a. Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.