aboutsummaryrefslogtreecommitdiffstats
path: root/japanese/security/2014/dsa-2934.wml
blob: 9fd1d0c50f46d808169b63a25178533a1435f4c1 (plain) (blame) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64

#use wml::debian::translation-check translation="c42b2a9a03df6ff47391c1ee90b29a4cd5dc4427"
<define-tag description>セキュリティ更新</define-tag>
<define-tag moreinfo>
<p>脆弱性が複数、高レベル Python ウェブ開発基盤 Django に発見されました。The
Common Vulnerabilities and Exposures project は以下の問題を認識しています:</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0472">CVE-2014-0472</a>

    <p>Benjamin Bach さんが、Django が reverse()
    URL 分解関数利用時に「.」で構成される Python
    パスを誤って処理していることを発見しました。特別に細工したビューを Django
    アプリケーションからリクエストできる攻撃者がこの問題を悪用し、Django
    に Python パスから任意のモジュールをインポートさせることが可能で、
    コードの実行につながる可能性があります。</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0473">CVE-2014-0473</a>

    <p>Paul McMillan さんが、Django が CSRF
    クッキーを含む特定のページを誤ってキャッシュしていることを発見しました。
    リモートの攻撃者がこの欠陥を悪用して異なるユーザの
    CSRF 文字列を獲得し、Django アプリケーションで意図した
    CSRF 防護を迂回することが可能です。</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0474">CVE-2014-0474</a>

    <p>Michael Koziarski さんが、特定の Django
    モデルフィールドクラスが引数の型変換を適切に行っていないことを発見しました。
    リモートの攻撃者に意図しない結果の取得を許します。</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1418">CVE-2014-1418</a>

    <p>Michael Nelson さんと Natalia Bidart さんと James Westby さんが、Django
    でキャッシュされたデータが、異なるセッションやセッションを\
    何も持たないユーザに送られる可能性があることを発見しました。
    攻撃者がこれを悪用して秘密データの取得やキャッシュを汚染することが可能です。</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3730">CVE-2014-3730</a>

    <p>Peter Kuma さんと Gavin Wahl さんが、Django
    がユーザから入力された特定の異常なURLを誤って検証していることを発見しました。
    攻撃者はこれを悪用して予期しないリダイレクトを引き起こすことが可能です。</p></li>

</ul>

<p>旧安定版 (oldstable) ディストリビューション (squeeze)
では、この問題はバージョン 1.2.3-3+squeeze10 で修正されています。</p>

<p>安定版 (stable) ディストリビューション (wheezy)
では、この問題はバージョン 1.4.5-1+deb7u7 で修正されています。</p>

<p>テスト版 (testing) ディストリビューション (jessie)
では、この問題はバージョン 1.6.5-1 で修正されています。</p>

<p>不安定版 (unstable) ディストリビューション (sid)
では、この問題はバージョン 1.6.5-1 で修正されています。</p>

<p>直ちに python-django パッケージをアップグレードすることを勧めます。</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2934.data"

© 2014-2024 Faster IT GmbH | imprint | privacy policy