Bulletin d'alerte Debian
DSA-1905-1 python-django -- Validation des entrées insuffisante
- Date du rapport :
- 10 octobre 2009
- Paquets concernés :
- python-django
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 550457.
- Plus de précisions :
-
La bibliothèque de formulaires de Django, une structure de développement web haut niveau en Python, utilise une expression rationnelle mal choisie lors de la validation des adresses électroniques et des URL. Un attaquant peut utiliser cela pour réaliser des attaques par déni de service (consommation de 100 % du processeur) à cause d'un mauvais retour en arrière à l'aide d'une adresse électronique ou d'une URL contrefaites pour l'occasion, validées par la bibliothèque de formulaires de Django
python-django dans la distribution oldstable (Etch), n'est pas concerné par ce problème.
Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.0.2-1+lenny2.
Pour la distribution testing (Squeeze), ce problème sera corrigé prochainement.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.1.1-1.
Nous vous recommandons de mettre à jour vos paquets python-django.
- Corrigé dans :
-
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/p/python-django/python-django_1.0.2-1+lenny2.dsc
- http://security.debian.org/pool/updates/main/p/python-django/python-django_1.0.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/python-django/python-django_1.0.2-1+lenny2.diff.gz
- http://security.debian.org/pool/updates/main/p/python-django/python-django_1.0.2.orig.tar.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/p/python-django/python-django_1.0.2-1+lenny2_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.