aboutsummaryrefslogtreecommitdiffstats
path: root/danish/security/2011/dsa-2332.wml
blob: 0e28fc3c02108a6deb582818ee4a553b84a7caf8 (plain) (blame) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51

#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" mindelta="1"
<define-tag description>flere problemer</define-tag>
<define-tag moreinfo>
<p>Paul McMillan, Mozilla- og Django-coreholdene opdagede flere sårbarheder i 
Django, et Python-webframework:</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-4136">CVE-2011-4136</a>

  <p>Når der anvendes hukommelsesbaserede sessioner og caching, opbevares 
  Django-sessioner direkte i cachens rootnavnerum.  Når brugerdata opbevares i 
  den samme cache, kunne en fjern bruger måske overtage sessionen.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-4137">CVE-2011-4137</a>, 
    <a href="https://security-tracker.debian.org/tracker/CVE-2011-4138">CVE-2011-4138</a>

  <p>Djangos felttype URLfield kontrollerer som standard leverede URL'er ved at
  sende en forespørgsel til dem, som ikke udløber.  Et lammelsesangreb (denial 
  of service) var muligt ved at levere særligt forberedte URL'er, som holder 
  forbindelsen åben permanent eller opfylder Djangos serverhukommelse.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-4139">CVE-2011-4139</a>

  <p>Django anvendte X-Forwarded-Host-headere til at kontruere komplette URL'er.  
  Headerne må ikke indeholde inddata, som der er tillid til, og kunne anvendes 
  til at forgifte cachen.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-4140">CVE-2011-4140</a>

  <p>CSRF-beskyttelsesmekanismen i Django håndterede ikke på korrekt vis 
  webserveropsætninger, som understøtter vilkårlige HTTP Host-headere, hvilket 
  gjorde det muligt for fjernangribere at udløse uautoriserede forfalskede 
  forespørgsler.</p></li>

</ul>

<p>I den gamle stabile distribution (lenny), er dette problem rettet i version 
1.0.2-1+lenny3.</p>

<p>I den stabile distribution (squeeze), er dette problem rettet i version 
1.2.3-3+squeeze2.</p>

<p>I distributionen testing (wheezy) og i den ustabile distribution (sid), er 
dette problem rettet i version 1.3.1-1.</p>

<p>Vi anbefaler at du opgraderer dine python-django-pakker.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2332.data"

© 2014-2024 Faster IT GmbH | imprint | privacy policy