製品・ソフトウェアに関する情報

JVN脆弱性詳細

Django の Cookie の構文解析コードにおける CSRF 保護メカニズムを回避される脆弱性

Title	Django の Cookie の構文解析コードにおける CSRF 保護メカニズムを回避される脆弱性
Summary	Django の Cookie の構文解析コードには、Google アナリティクスを導入したサイト上で使用される場合、CSRF 保護メカニズムを回避される脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-254: Security Features (セキュリティ機能) と識別されています。 http://cwe.mitre.org/data/definitions/254.html
Possible impacts	第三者により、任意の Cookie を設定されることで、CSRF 保護メカニズムを回避される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Sept. 26, 2016, midnight
Registration Date	Oct. 6, 2016, 11:52 a.m.
Last Update	Oct. 6, 2016, 11:52 a.m.

Affected System

Debian

Debian GNU/Linux 8.0

Canonical

Ubuntu 12.04 LTS

Ubuntu 14.04 LTS

Ubuntu 16.04 LTS

Django Software Foundation

Django 1.8.15 未満

Django 1.9.10 未満の 1.9.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-7401	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7401
National Vulnerability Database (NVD)
2	CVE-2016-7401	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7401

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
Debian Security Advisory
1	DSA-3678	https://www.debian.org/security/2016/dsa-3678
Django weblog
2	Django security releases issued: 1.9.10 and 1.8.15	https://www.djangoproject.com/weblog/2016/sep/26/security-releases/
Ubuntu Security Notice
3	USN-3089-1	http://www.ubuntu.com/usn/USN-3089-1/

Change Log

No	Changed Details	Date of change
0	[2016年10月06日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2016-7401

Summary	The cookie parsing code in Django before 1.8.15 and 1.9.x before 1.9.10, when used on a site with Google Analytics, allows remote attackers to bypass an intended CSRF protection mechanism by setting arbitrary cookies.
Publication Date	Oct. 4, 2016, 3:59 a.m.
Registration Date	Jan. 26, 2021, 2:17 p.m.
Last Update	Nov. 21, 2024, 11:57 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:o:canonical:ubuntu_linux:12.04::::lts:::
cpe:2.3:o:canonical:ubuntu_linux:16.04::::lts:::
cpe:2.3:o:canonical:ubuntu_linux:14.04::::lts:::

Configuration3		or higher	or less	more than	less than
cpe:2.3:o:debian:debian_linux:8.0:::::::*

Related information, measures and tools

No	URL	タグ
1	http://rhn.redhat.com/errata/RHSA-2016-2038.html
2	http://rhn.redhat.com/errata/RHSA-2016-2038.html
3	http://rhn.redhat.com/errata/RHSA-2016-2039.html
4	http://rhn.redhat.com/errata/RHSA-2016-2039.html
5	http://rhn.redhat.com/errata/RHSA-2016-2040.html
6	http://rhn.redhat.com/errata/RHSA-2016-2040.html
7	http://rhn.redhat.com/errata/RHSA-2016-2041.html
8	http://rhn.redhat.com/errata/RHSA-2016-2041.html
9	http://rhn.redhat.com/errata/RHSA-2016-2042.html
10	http://rhn.redhat.com/errata/RHSA-2016-2042.html
11	http://rhn.redhat.com/errata/RHSA-2016-2043.html
12	http://rhn.redhat.com/errata/RHSA-2016-2043.html
13	http://www.debian.org/security/2016/dsa-3678	Third Party Advisory
14	http://www.debian.org/security/2016/dsa-3678	Third Party Advisory
15	http://www.securityfocus.com/bid/93182	Third Party Advisory
16	http://www.securityfocus.com/bid/93182	Third Party Advisory
17	http://www.securitytracker.com/id/1036899	Third Party Advisory
18	http://www.securitytracker.com/id/1036899	Third Party Advisory
19	http://www.ubuntu.com/usn/USN-3089-1	Third Party Advisory
20	http://www.ubuntu.com/usn/USN-3089-1	Third Party Advisory
21	https://www.djangoproject.com/weblog/2016/sep/26/security-releases/	Patch Vendor Advisory
22	https://www.djangoproject.com/weblog/2016/sep/26/security-releases/	Patch Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-254	セキュリティ機能	https://cwe.mitre.org/data/definitions/254.html