Fecha del reporte: 14 de feb 2011

Paquetes afectados: python-django

Más información: Varias vulnerabilidades fueron descubiertas en el framework de desarrollo web Django:

• CVE-2011-0696: Por varias razones, la protección interna CSRF no se utilizó para validar las solicitudes de AJAX en el pasado. Sin embargo, se descubrió que esta excepción puede ser explotada en combinación con complementos del navegador y redirigirlas, por lo tanto no es suficiente.




• CVE-2011-0697: Se descubrió que el formulario de subida de archivos, es propenso a ataques cross-site scripting mediante el nombre del archivo.

Es importante señalar que esta actualizacion presenta incompatibilidades menores con versiones anteriores. Para conocer los detalles, se ruega consulte: http://docs.djangoproject.com/en/1.2/releases/1.2.5 y, en particular la seccion de "Backwards incompatible changes".

Los paquetes de la antigua distribución estable (lenny), no se ven afectados por estos problemas.

Para la distribución estable (squeeze), este problema ha sido corregido en la versión 1.2.3-3+squeeze1.

Para la distribución testing (wheezy), este problema en breve sera solucionado.

Para la distribución inestable (sid), este problema ha sido corregido en la versión 1.2.5-1.

Le recomendamos que actualice el paquete python-django.

Original (en inglés): http://www.debian.org/security/2011/dsa-2163