Debian DLA-349-1：python-django セキュリティ更新

medium Nessus プラグイン ID 87070

Language:

概要

リモートの Debian ホストにセキュリティ更新がありません。

説明

Web 開発フレームワークである Django　の日付テンプレートフィルターに潜在的な設定漏洩が存在することが判明しました。

アプリケーションがユーザーに日付の無効な形式の特定を可能にさせ、この形式を {{last_updated|date:user_date_format }} などの日付フィルターに渡す場合、'j/m/Y’の代わりに 'SECRET_KEY’など、日付形式ではなく設定キーを特定することにより、悪意のあるユーザーがアプリケーション設定内の機密を取得する恐れがあります。

これを修正するため、日付テンプレートフィルターにより使用される下層関数 django.utils.formats.get_format() は現在、日/時形式の設定へのアクセスのみを許可しています。

Debian 6 Squeeze では、この問題は python-django バージョン 1.2.3-3+squeeze15 で修正されています。

注：Tenable Network Security は、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。