1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" mindelta="1"
<define-tag description>flere problemer</define-tag>
<define-tag moreinfo>
<p>Paul McMillan, Mozilla- og Django-coreholdene opdagede flere sårbarheder i
Django, et Python-webframework:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-4136">CVE-2011-4136</a>
<p>Når der anvendes hukommelsesbaserede sessioner og caching, opbevares
Django-sessioner direkte i cachens rootnavnerum. Når brugerdata opbevares i
den samme cache, kunne en fjern bruger måske overtage sessionen.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-4137">CVE-2011-4137</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2011-4138">CVE-2011-4138</a>
<p>Djangos felttype URLfield kontrollerer som standard leverede URL'er ved at
sende en forespørgsel til dem, som ikke udløber. Et lammelsesangreb (denial
of service) var muligt ved at levere særligt forberedte URL'er, som holder
forbindelsen åben permanent eller opfylder Djangos serverhukommelse.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-4139">CVE-2011-4139</a>
<p>Django anvendte X-Forwarded-Host-headere til at kontruere komplette URL'er.
Headerne må ikke indeholde inddata, som der er tillid til, og kunne anvendes
til at forgifte cachen.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-4140">CVE-2011-4140</a>
<p>CSRF-beskyttelsesmekanismen i Django håndterede ikke på korrekt vis
webserveropsætninger, som understøtter vilkårlige HTTP Host-headere, hvilket
gjorde det muligt for fjernangribere at udløse uautoriserede forfalskede
forespørgsler.</p></li>
</ul>
<p>I den gamle stabile distribution (lenny), er dette problem rettet i version
1.0.2-1+lenny3.</p>
<p>I den stabile distribution (squeeze), er dette problem rettet i version
1.2.3-3+squeeze2.</p>
<p>I distributionen testing (wheezy) og i den ustabile distribution (sid), er
dette problem rettet i version 1.3.1-1.</p>
<p>Vi anbefaler at du opgraderer dine python-django-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2332.data"
|