Se han identificado y corregidos fallos en la gestión de sesiones y en la validación de cabeceras http, que pueden provocar denegación de servicio e inyección de código en cabeceras http, catalogada de Importancia: 3 - Media
Recursos afectados
- Rama Django master development
- Django 1.8
- Django 1.7 (excepto el problema DoS)
- Django 1.4 (excepto el problema DoS)
Las vulnerabilidades identificadas son:
- Denegación de servicio.- Una incorrecta gestión de los registros de sesion "request.session" posibilita a un atacante producir una denegación de servicio al solicitar múltiples sesiones con clave de sesión desconocida.
- Inyección de cabeceras HTTP.- Los validadores "django.core.validators.EmailValidator" ,"django.core.validators.validate_ipv4_address(), django.core.validators.validate_slug(), y django.core.validators.URLValidator permiten la inclusión de caracteres de nueva línea lo que posibilita la inyección de cabeceras HTTP.
Django ha publicado los siguientes parches:
- Rama de desarrollo (master development brach)
- Ramas 1.4, 1.7 y 1.8.
- Django 1.8.3
- Django 1.7.9
- Django 1.4.21
Más información
- Security releases issued: 1.8.3, 1.7.9, 1.4.21 https://www.djangoproject.com/weblog/2015/jul/08/security-releases/