Mandriva Linux セキュリティアドバイザリ：python-django（MDVSA-2014:113）

critical Nessus プラグイン ID 74446

Language:

概要

リモート Mandriva Linux ホストにセキュリティ更新がありません。

説明

python-django に複数の脆弱性が発見され、修正されました：

1.4.13 より前の 1.4、1.5.8 より前の 1.5、1.6.5 より前の 1.6、および 1.7b4 より前の 1.7 の Django は、(1) Vary: クッキーまたは (2) Cache-Control ヘッダーを応答に適切に含めません。これにより、リモートの攻撃者が、特定のブラウザからのリクエストを介して、機密情報を取得したり、キャッシュをポイズニングする可能性があります（CVE-2014-1418）。

1.4.13 より前の 1.4、1.5.8 より前の 1.5、1.6.5 より前の 1.6、および 1.7b4 より前の 1.7 の Django の django.util.http.is_safe_url 関数は、URL を適切に検証しません。これにより、リモートの攻撃者が、無効な形式の URL を介して、オープンリダイレクト攻撃を仕掛けることが可能です。これは、http:\djangoproject.com で実証されています。（CVE-2014-3730）。

1.4.11 より前の Django、1.5.6 より前の Django 1.5.x、1.6.3 より前の Django 1.6.x、1.7 beta 2 より前の Django 1.7.x の django.core.urlresolvers.reverse 関数により、リモートの攻撃者が、ユーザー入力とドット付き Python パスを使用する URL を構成するビューを利用することで、任意の Python モジュールをインポートおよび実行する可能性があります。（CVE-2014-0472）。

1.4.11 より前の Django、1.5.6 より前の Django 1.5.x、1.6.3 より前の Django 1.6.x、1.7 beta 2 より前の Django 1.7.x のキャッシングフレームワークは、キャッシュされた CSRF トークンをすべての匿名ユーザーに対して再利用します。これにより、リモートの攻撃者が、匿名ユーザーの CSRF クッキーを読み取ることで、CSRF 保護をバイパスする可能性があります（CVE-2014-0473）。

1.4.11 より前の Django、1.5.6 より前の Django 1.5.x、1.6.3 より前の Django 1.6.x、1.7 beta 2 より前の Django 1.7.x の (1) FilePathField、(2) GenericIPAddressField、および (3) IPAddressField モデルフィールドクラスは、型の変換を適切に行っていません。これにより、リモートの攻撃者が、MySQL 型キャストに関連した、詳細不明な影響やベクトルを与える可能性があります。
（CVE-2014-0474）。

更新パッケージには、これらの問題を修正するため、パッチが適用されています。