LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2022 / Informations sur la sécurité -- DLA-2982-1 python-django

Bulletin d'alerte Debian

DLA-2982-1 python-django -- Mise à jour de sécurité pour LTS

Date du rapport :

14 avril 2022

Paquets concernés :

python-django

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2022-28346.

Plus de précisions :

Il y avait une vulnérabilité potentielle d'attaque par injection de code SQL dans Django, un cadriciel populaire de développement web basé sur Python :

• CVE-2022-28346

  CVE-2022-28346 : Un problème a été découvert dans les versions de Django 2.2 antérieures à 2.2.28, 3.2 antérieures à 3.2.13 et 4.0 antérieures à 4.0.4. Les méthodes QuerySet.annotate(), aggregate() et extra() sont sujettes à une injection de code SQL dans les alias de colonnes à l'aide d'un dictionnaire contrefait (avec une expansion dictionnaire) en tant qu'argument **kwargs passés à ces méthodes.

Pour Debian 9 Stretch, ce problème a été corrigé dans la version 1:1.10.7-2+deb9u16.

Nous vous recommandons de mettre à jour vos paquets python-django.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.