1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
|
#use wml::debian::translation-check translation="a13f27ba5d6ec963655966809db861944e629661" mindelta="1"
<define-tag description>sikkerhedsopdatering</define-tag>
<define-tag moreinfo>
<p>Flere sårbarheder blev opdaget i Django, et webudviklingframework på højt
niveau til Python. Projektet Common Vulnerabilities and Exposures har
registreret følgende problemer:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0480">CVE-2014-0480</a>
<p>Florian Apolloner opdagede at under visse omstændigheder, kunne
URL-omvending generere scheme-relativ URL'er, som uventet kunne
omdirigere en bruger til en anden vært, førende til
phishing-angreb.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0481">CVE-2014-0481</a>
<p>David Wilson rapporterede som en lammelsesangrebssårbarhed ved filupload.
Djangos håndtering af filupload kunne i sin standardopsætning falde tilbage
til et enormt stort antal <q>os.stat()</q>-systemkald, når et duplikeret
filnavn blev uploadet. En fjernangriber med mulighed for at uploade filer,
kunne udvirke dårlig ydeevne i uploadhåndteringen, som endte med at gøre den
meget langsom.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0482">CVE-2014-0482</a>
<p>David Greisen opdagede at under visse omstændigheder, kunne anvendelse af
middlewaren RemoteUserMiddleware og autentifikationsbackend'en
RemoteUserBackend medføre at en bruger modtog en anden brugers session, hvis
en ændring til REMOTE_USER-headeren skete uden tilhørende
logud-/logind-handlinger.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0483">CVE-2014-0483</a>
<p>Collin Anderson opdagede at det var muligt at afsløre ethvert felts data,
ved at ændre parametrene <q>popup</q> og <q>to_field</q> i
forespørgselsstrengen på en administratorsændringsformularside. En bruger
med adgang til administrationsgrænsefladen, samt med tilstrækkelig viden om
modelstrukturen og de korrekte URL'er, kunne fremstille popupvisning, hvilke
kunne vise værdierne af ikke-relationsfelter, herunder felter som
applikationsudvikleren ikke havde til hensigt at udstille på en sådan
måde.</p></li>
</ul>
<p>I den stabile distribution (wheezy), er disse problemer rettet i
version 1.4.5-1+deb7u8.</p>
<p>I den ustabile distribution (sid), er disse problemer rettet i
version 1.6.6-1.</p>
<p>Vi anbefaler at du opgraderer dine python-django-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3010.data"
|