UPDATE: DFN-CERT-2016-1154 Django: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff [Linux][Debian][Fedora]

DFN-CERT portal at dfn-cert.de
Fri Jul 22 09:15:01 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 3 (22.07.2016):
    Für Fedora 23 und 24 stehen Sicherheitsupdates in Form der Pakete
    python-django-1.8.14-1.fc23 im Status 'pending' und
    python-django-1.9.8-1.fc24 im Status 'testing' bereit.
  Version 2 (20.07.2016):
    Canonical stellt für Ubuntu 16.04 LTS ein Backport-Sicherheitsupdate
    bereit.
  Version 1 (19.07.2016):
    Neues Advisory

Betroffene Software:

  Django < 1.8.14
  Django < 1.9.8
  

Betroffene Plattformen:

  Canonical Ubuntu Linux 16.04 LTS
  Debian Linux 8.5 Jessie
  Red Hat Fedora 23
  Red Hat Fedora 24
  


Ein entfernter, nicht authentifizierter Angreifer kann einen
Cross-Site-Scripting-Angriff (XSS) durchführen.

Der Hersteller stellt die Programmversionen 1.8.14 und 1.9.8 bereit, um die
Schwachstelle zu beheben. Für die Distribution Debian Jessie (stable) steht
ein Backport-Sicherheitsupdate bereit.


Patch:

  Debian Security Advisory DSA-3622-1

  <https://www.debian.org/security/2016/dsa-3622>

Patch:

  Release Notes Django 1.8.14, 1.9.8, 1.10 release candidate 1

  <https://www.djangoproject.com/weblog/2016/jul/18/security-releases/>

Patch:

  Ubuntu Security Notice USN-3039-1

  <http://www.ubuntu.com/usn/usn-3039-1/>

Patch:

  Fedora Security Update FEDORA-2016-b7e31a0b9a (Fedora 24,
  python-django-1.9.8-1.fc24)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-b7e31a0b9a>

Patch:

  Fedora Security Update FEDORA-2016-97ca9d52a4 (Fedora 23,
  python-django-1.8.14-1.fc23)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-97ca9d52a4>


CVE-2016-6186: Schwachstelle in Django ermöglicht
  Cross-Site-Scripting-Angriff

  Das JavaScript-Element 'Element.innerHTML' wird in einer Einblendung
  ('Pop-up'), das im Kontext der Aktionen 'hinzufügen' und 'ändern'
  (add/change) des Administrators auftaucht, unsicher verwendet.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1154/>

Debian Security Advisory DSA-3622-1:
  <https://www.debian.org/security/2016/dsa-3622>

Release Notes Django 1.8.14, 1.9.8, 1.10 release candidate 1:
  <https://www.djangoproject.com/weblog/2016/jul/18/security-releases/>

Schwachstelle CVE-2016-6186 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6186>

Ubuntu Security Notice USN-3039-1:
  <http://www.ubuntu.com/usn/usn-3039-1/>

Fedora Security Update FEDORA-2016-b7e31a0b9a (Fedora 24,
python-django-1.9.8-1.fc24):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-b7e31a0b9a>

Fedora Security Update FEDORA-2016-97ca9d52a4 (Fedora 23,
python-django-1.8.14-1.fc23):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-97ca9d52a4>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160722/e8b2bfb3/attachment.bin>


More information about the Security-Announce mailing list