Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3151-1 python-django

Bulletin d'alerte Debian

DSA-3151-1 python-django -- Mise à jour de sécurité

Date du rapport :

3 février 2015

Paquets concernés :

python-django

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 775375.
Dans le dictionnaire CVE du Mitre : CVE-2015-0219, CVE-2015-0220, CVE-2015-0221.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Django, un environnement de développement web de haut niveau en Python. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2015-0219

  Jedediah Smith a signalé que la fonction environ de WSGI dans Django ne faisait pas de distinction entre les en-têtes contenant des tirets et ceux contenant des tirets bas. Un attaquant distant pourrait utiliser ce défaut pour usurper des en-têtes WSGI.

• CVE-2015-0220

  Mikko Ohtamaa a découvert que la fonction django.util.http.is_safe_url() dans Django ne gérait pas correctement les espaces au début des URL redirigées fournies par les utilisateurs. Un attaquant distant pourrait éventuellement utiliser ce défaut pour réaliser une attaque de script intersite.

• CVE-2015-0221

  Alex Gaynor a signalé un défaut dans la façon dont Django gérait la lecture des fichiers dans la vue django.views.static.serve(). Un attaquant distant pourrait éventuellement utiliser ce défaut pour monter un déni de service par consommation de ressources.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.4.5-1+deb7u9.

Pour la prochaine distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.7.1-1.1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.7.1-1.1.

Nous vous recommandons de mettre à jour vos paquets python-django.