Debian dla-4458 : python-django-doc - セキュリティ更新

critical Nessus プラグイン ID 297052

Language:

概要

リモートの Debian ホストに 1 つ以上のセキュリティ関連の更新プログラムがありません。

説明

リモートのDebian 11ホストには、dla-4458アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- -------------------------------------------------- -------------------------- Debian LTS アドバイザリ DLA-4458-1 [email protected] https://www.debian.org/lts/security/Chris Lamb 2026 年 1 月 28 日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------

パッケージ python-django バージョン 2:2.2.28-1~deb11u11 CVE ID CVE-2024-39614 CVE-2024-45231 CVE-2024-42005 CVE-2024-41991 CVE-2024-39329 CVE-2024-41989 CVE-2024-39330 CVE-2025-6069

Python ベースの Web 開発フレームワークである Django に次の複数の脆弱性が発見されました

- - CVE-2024-39614django.utils.translation.get_supported_language_variant の潜在的なサービス拒否を修正します。このメソッドは、特定の文字を含む非常に長い文字列で使用された場合、DoS 攻撃の可能性があります。この脆弱性を緩和するために、get_supported_language_variant に提供される言語コードは現在、最大 500 文字まで解析されるようになりました。

- - CVE-2024-45231パスワードリセット時の応答ステータスによる、潜在的なユーザーの列挙。処理されないメール送信の失敗により、django.contrib.auth.forms.PasswordResetForm クラスにより、リモートの攻撃者が、パスワードのリセットリクエストを発行して結果を観察することで、ユーザーのメールを列挙することが可能でした。このリスクを軽減するために、パスワードリセットメールの送信中に発生する例外は現在、django.contrib.auth ロガーを使用して処理され、記録されます。

- - CVE-2024-42005QuerySet.values() および value_list() の潜在的な SQL インジェクション。JSONField を搭載したモデルの QuerySet.values() および value_list() メソッドは、渡された *arg として細工された JSON オブジェクトキーを通じて、列エイリアスで SQL インジェクションの対象となります。

- - CVE-2024-41991django.utils.html.urlize() および AdminURLFieldWidget にある潜在的なサービス拒否の脆弱性。urlize および urlizetrunc テンプレートフィルター、ならびに AdminURLFieldWidget ウィジェットは、非常に多数の Unicode 文字を含む特定の入力を介した、サービス拒否攻撃の可能性があります。

- - CVE-2024-39329使用できないパスワードを持つユーザーのための、時間差を通じたユーザー名列挙の脆弱性を回避します。django.contrib.auth.ModelBackend メソッドの認証メソッドにより、リモートの攻撃者が、使用できないパスワードを持つユーザーへのログインリクエストを含むタイミング攻撃を介して、ユーザーを列挙する可能性があります。

- - CVE-2024-41989django.utils.numberformat のメモリ枯渇。floatformat テンプレートフィルターは、大きな指数を伴う科学表記の数値の文字列表現を与えられたとき、メモリを大量に消費する可能性があります。

- - CVE-2024-39330django.core.files.storage.Storage.save にある潜在的なディレクトリトラバーサルに対処します。親クラスに存在するファイルパス検証を複製せずに generate_filename をオーバーライドするこのメソッドのベースクラスの派生クラスにより、save() を呼び出す際に特定の入力を介した潜在的なディレクトリトラバーサルが発生する可能性があります。ビルトインストレージのサブクラスは、この脆弱性の影響を受けませんでした。

さらに、python3.9 ソースパッケージ内の CVE-2025-6069 に対する修正[ DLA 4445-1での更新パッケージの一部としてリリースは、Django の strip_tags() の動作を変更する方法で html.parser.HTMLParser クラスを修正していました。一部のエッジケースでメソッドを使用できるようになりました。これは、Django のテストスイートによってテストされました。この回帰の結果として、新しく予測される結果用の testsuite を更新します。

Debian 11 Bullseyeでは、これらの問題はバージョン 2:2.2.28-1~deb11u11で修正されました。

python-django パッケージをアップグレードすることを推奨します。

python-django の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください：
https://security-tracker.debian.org/tracker/python-django

Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTS

前述の説明ブロックは、Tenable が Debian セキュリティアドバイザリから直接抽出したものです。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。