Errata ALT-PU-2021-3619-1: Информация
Имя пакета: python3-module-django
Версия: 2.2.25-alt1
Бюллетень изменен: 24 декабря 2021 г.
Задание: #292358
Исправления
Опубликовано: 25 мая 2021 г.
BDU:2021-05162
Уязвимость функций URLValidator, validate_ipv4_address, validate_ipv46_address программной платформы для веб-приложений Django, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю оказать воздействие на целостность данных
Важность: HIGH (7,5) Вектор: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Ссылки:
Опубликовано: 4 мая 2021 г.
BDU:2021-05215
Уязвимость компонентов MultiPartParser, UploadedFile, FieldFile программной платформы для веб-приложений Django, связанная с отсутствием ограничений на загрузку файлов, позволяющая нарушителю получить доступ к конфиденциальным данным
Важность: HIGH (7,5) Вектор: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Ссылки:
Опубликовано: 19 мая 2021 г.
BDU:2021-05245
Уязвимость функции TemplateDetailView компонента django/contrib/admindocs программной платформы для веб-приложений Django, связанная с недостатками ограничения имени пути к каталогу, позволяющая нарушителю получить доступ к конфиденциальным данным
Важность: MEDIUM (4,9) Вектор: AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Ссылки:
Опубликовано: 1 апреля 2021 г.
BDU:2021-05276
Уязвимость компонента MultiPartParser программной платформы для веб-приложений Django, связанная с недостатками ограничения имени пути к каталогу, позволяющая нарушителю получить доступ к конфиденциальным данным
Важность: MEDIUM (5,3) Вектор: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Ссылки:
Опубликовано: 6 апреля 2021 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2021-28658
In Django 2.2 before 2.2.20, 3.0 before 3.0.14, and 3.1 before 3.1.8, MultiPartParser allowed directory traversal via uploaded files with suitably crafted file names. Built-in upload handlers were not affected by this vulnerability.
Важность: MEDIUM (5,3) Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Ссылки:
- https://groups.google.com/g/django-announce/c/ePr5j-ngdPU
- https://www.djangoproject.com/weblog/2021/apr/06/security-releases/
- https://docs.djangoproject.com/en/3.1/releases/security/
- [debian-lts-announce] 20210409 [SECURITY] [DLA 2622-1] python-django security update
- https://security.netapp.com/advisory/ntap-20210528-0001/
- FEDORA-2021-01044b8a59
Опубликовано: 5 мая 2021 г.
Изменено: 8 декабря 2023 г.
Изменено: 8 декабря 2023 г.
CVE-2021-31542
In Django 2.2 before 2.2.21, 3.1 before 3.1.9, and 3.2 before 3.2.1, MultiPartParser, UploadedFile, and FieldFile allowed directory traversal via uploaded files with suitably crafted file names.
Важность: HIGH (7,5) Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Ссылки:
- https://www.djangoproject.com/weblog/2021/may/04/security-releases/
- https://docs.djangoproject.com/en/3.2/releases/security/
- http://www.openwall.com/lists/oss-security/2021/05/04/3
- [debian-lts-announce] 20210506 [SECURITY] [DLA 2651-1] python-django security update
- https://security.netapp.com/advisory/ntap-20210618-0001/
- https://groups.google.com/forum/#%21forum/django-announce
- FEDORA-2021-01044b8a59
- FEDORA-2022-e7fd530688
- https://github.com/django/django/commit/04ac1624bdc2fa737188401757cf95ced122d26d
- https://github.com/django/django/commit/25d84d64122c15050a0ee739e859f22ddab5ac48
- https://github.com/django/django/commit/c98f446c188596d4ba6de71d1b77b4a6c5c2a007
Опубликовано: 6 мая 2021 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2021-32052
In Django 2.2 before 2.2.22, 3.1 before 3.1.10, and 3.2 before 3.2.2 (with Python 3.9.5+), URLValidator does not prohibit newlines and tabs (unless the URLField form field is used). If an application uses values with newlines in an HTTP response, header injection can occur. Django itself is unaffected because HttpResponse prohibits newlines in HTTP headers.
Важность: MEDIUM (6,1) Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Ссылки:
- https://docs.djangoproject.com/en/3.2/releases/security/
- http://www.openwall.com/lists/oss-security/2021/05/06/1
- https://www.djangoproject.com/weblog/2021/may/06/security-releases/
- https://security.netapp.com/advisory/ntap-20210611-0002/
- https://groups.google.com/forum/#%21forum/django-announce
- FEDORA-2021-01044b8a59
Опубликовано: 8 июня 2021 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2021-33203
Django before 2.2.24, 3.x before 3.1.12, and 3.2.x before 3.2.4 has a potential directory traversal via django.contrib.admindocs. Staff members could use the TemplateDetailView view to check the existence of arbitrary files. Additionally, if (and only if) the default admindocs templates have been customized by application developers to also show file contents, then not only the existence but also the file contents would have been exposed. In other words, there is directory traversal outside of the template root directories.
Важность: MEDIUM (4,9) Вектор: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Ссылки:
Опубликовано: 8 июня 2021 г.
Изменено: 8 декабря 2023 г.
Изменено: 8 декабря 2023 г.
CVE-2021-33571
In Django 2.2 before 2.2.24, 3.x before 3.1.12, and 3.2 before 3.2.4, URLValidator, validate_ipv4_address, and validate_ipv46_address do not prohibit leading zero characters in octal literals. This may allow a bypass of access control that is based on IP addresses. (validate_ipv4_address and validate_ipv46_address are unaffected with Python 3.9.5+..) .
Важность: HIGH (7,5) Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Ссылки:
- https://groups.google.com/g/django-announce/c/sPyjSKMi8Eo
- https://docs.djangoproject.com/en/3.2/releases/security/
- https://www.djangoproject.com/weblog/2021/jun/02/security-releases/
- https://security.netapp.com/advisory/ntap-20210727-0004/
- FEDORA-2022-e7fd530688
- https://github.com/django/django/commit/f27c38ab5d90f68c9dd60cabef248a570c0be8fc
- https://github.com/django/django/commit/203d4ab9ebcd72fc4d6eb7398e66ed9e474e118e
- https://github.com/django/django/commit/9f75e2e562fa0c0482f3dde6fc7399a9070b4a3d
Опубликовано: 8 декабря 2021 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2021-44420
In Django 2.2 before 2.2.25, 3.1 before 3.1.14, and 3.2 before 3.2.10, HTTP requests for URLs with trailing newlines could bypass upstream access control based on URL paths.
Важность: HIGH (7,3) Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Ссылки:
- https://docs.djangoproject.com/en/3.2/releases/security/
- https://www.openwall.com/lists/oss-security/2021/12/07/1
- https://www.djangoproject.com/weblog/2021/dec/07/security-releases/
- https://security.netapp.com/advisory/ntap-20211229-0006/
- https://groups.google.com/forum/#%21forum/django-announce
- FEDORA-2022-e7fd530688