aboutsummaryrefslogtreecommitdiffstats
path: root/danish/security/2014/dsa-3010.wml
blob: 1767eb9fb84b19210be99ba03ce49bafc4a5ef86 (plain) (blame) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57

#use wml::debian::translation-check translation="a13f27ba5d6ec963655966809db861944e629661" mindelta="1"
<define-tag description>sikkerhedsopdatering</define-tag>
<define-tag moreinfo>
<p>Flere sårbarheder blev opdaget i Django, et webudviklingframework på højt 
niveau til Python.  Projektet Common Vulnerabilities and Exposures har 
registreret følgende problemer:</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0480">CVE-2014-0480</a>

    <p>Florian Apolloner opdagede at under visse omstændigheder, kunne 
    URL-omvending generere scheme-relativ URL'er, som uventet kunne 
    omdirigere en bruger til en anden vært, førende til 
    phishing-angreb.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0481">CVE-2014-0481</a>

    <p>David Wilson rapporterede som en lammelsesangrebssårbarhed ved filupload. 
    Djangos håndtering af filupload kunne i sin standardopsætning falde tilbage 
    til et enormt stort antal <q>os.stat()</q>-systemkald, når et duplikeret 
    filnavn blev uploadet.  En fjernangriber med mulighed for at uploade filer, 
    kunne udvirke dårlig ydeevne i uploadhåndteringen, som endte med at gøre den 
    meget langsom.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0482">CVE-2014-0482</a>

    <p>David Greisen opdagede at under visse omstændigheder, kunne anvendelse af 
    middlewaren RemoteUserMiddleware og autentifikationsbackend'en 
    RemoteUserBackend medføre at en bruger modtog en anden brugers session, hvis 
    en ændring til REMOTE_USER-headeren skete uden tilhørende 
    logud-/logind-handlinger.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0483">CVE-2014-0483</a>

    <p>Collin Anderson opdagede at det var muligt at afsløre ethvert felts data, 
    ved at ændre parametrene <q>popup</q> og <q>to_field</q> i 
    forespørgselsstrengen på en administratorsændringsformularside.  En bruger 
    med adgang til administrationsgrænsefladen, samt med tilstrækkelig viden om 
    modelstrukturen og de korrekte URL'er, kunne fremstille popupvisning, hvilke 
    kunne vise værdierne af ikke-relationsfelter, herunder felter som 
    applikationsudvikleren ikke havde til hensigt at udstille på en sådan 
    måde.</p></li>

</ul>

<p>I den stabile distribution (wheezy), er disse problemer rettet i
version 1.4.5-1+deb7u8.</p>

<p>I den ustabile distribution (sid), er disse problemer rettet i
version 1.6.6-1.</p>

<p>Vi anbefaler at du opgraderer dine python-django-pakker.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3010.data"

© 2014-2024 Faster IT GmbH | imprint | privacy policy