[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Fedora] Schwachstelle in Django vor Version 1.0.3 - FEDORA-2009-8177 / FEDORA-2009-8169
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
RedHat Bug ID 514581 - Schwachstelle im Django Test-Webserver
Django enthaelt einen kleinen Webserver zur Ansicht der Dokumentation
und zum Testen von Webanwendungen in einem fruehen
Entwicklungsstadium. Dieser Webserver ueberprueft nicht, ob die
angeforderte Seite innerhalb der Verzeichnishierachie von Django
liegt. Ein entfernter Angreifer kann diese Schwachstelle dazu
ausnutzen, beliebige Dateien einzusehen, auf die der Server
Lesezugriff hat. Allerdings laeuft der Webserver per Default nur auf
der lokalen Loopback IP-Adresse (127.0.0.1).
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket Django
Fedora 10
Fedora 11
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-August/msg00055.html
https://www.redhat.com/archives/fedora-package-announce/2009-August/msg00069.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Klaus Moeller, DFN-CERT
- --
Dipl. Inform. Klaus Moeller (Incident Response Team)
Phone: +49 40 808077-555, Fax: +49 40 808077-556
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrase 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
- --------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2009-8177
2009-07-31 17:31:13
- --------------------------------------------------------------------------------
Name : Django
Product : Fedora 11
Version : 1.0.3
Release : 6.fc11
URL : http://www.djangoproject.com/
Summary : A high-level Python Web framework
Description :
Django is a high-level Python Web framework that encourages rapid
development and a clean, pragmatic design. It focuses on automating as
much as possible and adhering to the DRY (Don't Repeat Yourself)
principle.
- --------------------------------------------------------------------------------
Update Information:
For: http://www.djangoproject.com/weblog/2009/jul/28/security/
- --------------------------------------------------------------------------------
ChangeLog:
* Wed Jul 29 2009 Steve 'Ashcrow' Milner <stevem@xxxxxxxxxxxx> - 1.0.3-6
- - Attempted combined spec for F12/11/10 and EL5
* Wed Jul 29 2009 Steve 'Ashcrow' Milner <stevem@xxxxxxxxxxxx> - 1.0.3-4
- - Older builds must ghost django-admin.py[c,o]
* Wed Jul 29 2009 Steve 'Ashcrow' Milner <stevem@xxxxxxxxxxxx> - 1.0.3-3
- - Bump for tag issue.
* Wed Jul 29 2009 Steve 'Ashcrow' Milner <stevem@xxxxxxxxxxxx> - 1.0.3-2
- - Fix changelog.
* Wed Jul 29 2009 Steve 'Ashcrow' Milner <stevem@xxxxxxxxxxxx> - 1.0.3-1
- - Upgrade for http://www.djangoproject.com/weblog/2009/jul/28/security/
- --------------------------------------------------------------------------------
References:
[ 1 ] Bug #514581 - Django security update
https://bugzilla.redhat.com/show_bug.cgi?id=514581
- --------------------------------------------------------------------------------
This update can be installed with the "yum" update program. Use
su -c 'yum update Django' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
- --------------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)
iD8DBQFKeBepk0kIxZMiiQ8RAqaZAJsGZnjIvPkELVd81mc6MXdkCWr7AACeNIst
gWq7odPkL9NJ5r70UVcvtcU=
=gBr/
-----END PGP SIGNATURE-----