CH azonosító
CH-8518Angol cím
Django Multiple VulnerabilitiesFelfedezés dátuma
2013.02.19.Súlyosság
KözepesÖsszefoglaló
A Django olyan sérülékenységeit jelentették, amelyeket a rosszindulatú felhasználók kihasználva megkerülhetnek bizonyos biztonsági szabályokat, valamint a támadók szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.
Leírás
- Az XML entitások növekedése során fellépő hiba kihasználható nagy mennyiségű memória lefoglalására, valamint összeomlás vagy szolgáltatás megtagadás előidézésére speciálisan megszerkesztett XML fájlok káros tartalmú attribútumainak segítségével.
- Egyes XML adatok feldolgozása során fellépő hiba kihasználható bizonyos információk kiszivárogtatására külső entitás hivatkozásokat tartalmazó, speciálisan megszerkesztett XML adatok segítségével.
- Az adminisztratív felület nem megfelelő módon ellenőrzi a hozzáférési jogosultságokat az előzmények megtekintésekor, amely kihasználható bármilyen az adminisztratív felületről elérhető objektum előzményeinek megtekintéséhez.
- Az űrlap készletek (formset) űrlapok beküldésekor majd azok kezelése során fellépő hibája kihasználható nagy mennyiségű memória lefoglalására valamint az alkalmazás használhatatlanná tételére speciálisan megszerkesztett űrlapok beküldésével.
A sérülékenységeket az 1.3.6 és 1.4.4 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Misconfiguration (Konfiguráció)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.djangoproject.com
CVE-2013-0305 - NVD CVE-2013-0305
CVE-2013-0306 - NVD CVE-2013-0306
CVE-2013-1664 - NVD CVE-2013-1664
CVE-2013-1665 - NVD CVE-2013-1665
SECUNIA 52243