Debian DLA-65-1：python-django 安全更新

medium Nessus 插件 ID 82210

语言：

简介

远程 Debian 主机缺少安全更新。

描述

此更新解决了使用 reverse() 生成外部 URL 的问题；
涉及文件上传的拒绝服务；远程用户中间件中潜在的会话劫持问题；和管理界面中的数据泄漏。

http://www.freexian.com/services/debian-lts.html

CVE-2014-0480

Django 包括帮助程序函数 django.core.urlresolvers.reverse，通常用于从视图函数或 URL 模式名称的参考生成 URL。但是，当提供用两个正斜线字符 (//) 开头的输入时，reverse() 可生成指向其他主机的与方案有关的 URL，因此知道 reverse() 的不安全使用的攻击者（即在最终用户可以控制重定向目标的情况下，这是一个常见的例子）可生成指向他们选择的站点的链接，从而允许钓鱼攻击和其他攻击。

为了补救这点，URL 反向现在确保没有任何 URL 以两根斜线 (//) 开头，将第二个斜线替换为其 URL 编码的对应部分 (%2F)。此方法确保语义保持不变，同时使 URL 与域相关，而不是与方案相关。

CVE-2014-0481

在默认配置中，当给 Django 的文件上传处理系统提供的文件与现有文件具有相同的磁盘上的路径和名称时，它将尝试生成新的唯一文件名，方法是在（磁盘上存储的）文件名的末尾附加下划线和整数，递增该整数（即 _1、_2 等），直到它生成不与任何现有文件冲突的名称。

知道此缺陷的攻击者可通过上传全部共享一个文件名的许多微小文件，来利用文件名生成的连续行为；在处理它们时，Django 将像尝试生成唯一文件名那样生成数量不断增加的 os.stat() 调用。结果，即使相对小数量的此类上传也可造成性能显著下降。

为了补救这点，Django 的文件上传系统将不再使用连续整数名称，以避免磁盘上的文件名冲突；作为替代，将附加短的随机字母数字字符串，删除了可靠地生成许多重复的冲突文件名的功能。

CVE-2014-0482

Django 提供中间件 -- django.contrib.auth.middleware.RemoteUserMiddleware -- 和认证后端 django.contrib.auth.backends.RemoteUserBackend，它使用 REMOTE_USER 标头进行认证。

在某些情况下，如果更改了 REMOTE_USER 标头而没有相应的注销/登录操作，则使用此中间件和后端会导致一个用户收到另一个用户的会话。

为了补救这点，该中间件现在将确保在没有显式注销的情况下更改 REMOTE_USER 将会强制注销并且随后登录，然后接受新的 REMOTE_USER。

CVE-2014-0483

Django 的管理界面 django.contrib.admin 提供一项功能，可以在弹出窗口中显示供选择的相关对象。此机制依赖于在指定要显示的相关模型的 URL 和查询字符串以及通过其实现关系的字段中放置多个值。此机制不作为整体在模型类级别执行权限检查。

但是，此机制不验证指定的字段是否实际上表示模型之间的关系。
因此，具有管理员界面访问权限并且足够了解模型结构和相应 URL 的用户可构造弹出视图，其中将显示非关系字段（包括应用程序开发人员不打算以此方式暴露的字段）的值。

为了补救这点，管理员界面现在除了正常的权限检查以外，还将验证指定的字段确实表示与使用 admin 注册的模型的关系，并且将在任一条件不为真时引发异常。

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。