发布日期:2012-07-31
更新日期:2012-08-01受影响系统:
Django Django 1.4.x
Django Django 1.3.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 54729
CVE ID: CVE-2012-3442,CVE-2012-3443,CVE-2012-3444Django是Python编程语言驱动的一个开源Web应用程序框架。Django 1.3和1.4及其他版本在实现上存在两个安全漏洞,可被恶意用户利用执行跨站脚本攻击和拒绝服务。1)验证框架中的login()或logout()试图的重定向功能内传递的输入,在重定向到"data:" scheme URL后没有正确过滤就返回给用户。2)解压图形时,ImageField类中的图形验证中存在错误,可被利用消耗大量内存资源。3)在ImageFile类中的图形大小计算存在错误,可被利用消耗服务器资源并造成应用停止响应。<*来源:Jeroen Dekkers
链接:http://secunia.com/advisories/50021/
https://www.djangoproject.com/weblog/2012/
*>建议:
--------------------------------------------------------------------------------
厂商补丁:Django
------
Django已经为此发布了一个安全公告(jul)以及相应补丁:jul:Cross-site scripting in authentication views链接:https://www.djangoproject.com/weblog/2012/ModSecurity引号解析安全限制绕过漏洞(CVE-2009-5031)phpBB多个SQL注入漏洞相关资讯 Django 拒绝服务漏洞
- Django 安全限制绕过漏洞(CVE-2016 (今 20:36)
- Django 1.10提供了PostgreSQL中的 (08月12日)
- Ubuntu 14.04下Django+MySQL安装部 (02月26日)
| - 自动部署Django项目详解 (10月06日)
- Django 之管理界面 (07月01日)
- Django Book 2.0 中文版 PDF (02月03日)
|
本文评论 查看全部评论 (0)
易网时代-编程资源站