openSUSE 安全更新：python-django (openSUSE-SU-2014:1132-1)

critical Nessus 插件 ID 77718

语言：

简介

远程 openSUSE 主机缺少安全更新。

描述

Python Django 已更新，修复了安全问题和缺陷。

在 openSUSE 12.3 上，更新到版本 1.4.15：

+ 已阻止 reverse() 生成指向其他主机的 URL，从而阻止钓鱼攻击（bnc#893087，CVE-2014-0480）

+ 上传重复的文件名时已删除 O(n) 算法，从而修复文件上传拒绝服务（bnc#893088，CVE-2014-0481）

+ 已修改 RemoteUserMiddleware 以在 REMOTE_USE 更改时注销，从而阻止会话劫持（bnc#893089，CVE-2014-0482）

+ 已通过查询字符串操纵阻止 contrib.admin 中的数据泄漏（bnc#893090，CVE-2014-0483）

+ 已修复：可能会错误地允许缓存存储和服务隐私数据（bnc#877993，CVE-2014-1418）

+ 已修复：未正确验证来自用户输入的畸形重定向 URL（bnc#878641，CVE-2014-3730）

+ 已修复因类型转换而导致可能在 MySQL 中返回意外结果的查询（bnc#874956，CVE-2014-0474）

+ 已阻止通过缓存泄漏 CSRF 标记（bnc#874955，CVE-2014-0473）

+ 已修复 URL 反向中的远程代码执行漏洞（bnc#874950，CVE-2014-0472）

在 openSUSE 13.1 上，更新到版本 1.5.10：

+ 已阻止 reverse() 生成指向其他主机的 URL，从而阻止钓鱼攻击（bnc#893087，CVE-2014-0480）

+ 上传重复的文件名时已删除 O(n) 算法，从而修复文件上传拒绝服务（bnc#893088，CVE-2014-0481）

+ 已修改 RemoteUserMiddleware 以在 REMOTE_USE 更改时注销，从而阻止会话劫持（bnc#893089，CVE-2014-0482）

+ 已通过查询字符串操纵阻止 contrib.admin 中的数据泄漏（bnc#893090，CVE-2014-0483）

- 更新到 1.5.8 版：

+ 已修复：可能会错误地允许缓存存储和服务隐私数据（bnc#877993，CVE-2014-1418）

+ 已修复：未正确验证来自用户输入的畸形重定向 URL（bnc#878641，CVE-2014-3730）

+ 已修复因类型转换而导致可能在 MySQL 中返回意外结果的查询（bnc#874956，CVE-2014-0474）

+ 已阻止通过缓存泄漏 CSRF 标记（bnc#874955，CVE-2014-0473）

+ 已修复 URL 反向中的远程代码执行漏洞（bnc#874950，CVE-2014-0472）