Información sobre seguridad / 2020 / Información sobre seguridad -- DSA-4598-1 python-django

Aviso de seguridad de Debian

DSA-4598-1 python-django -- actualización de seguridad

Fecha del informe:

7 de ene de 2020

Paquetes afectados:

python-django

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 946937.
En el diccionario CVE de Mitre: CVE-2019-19844.

Información adicional:

Simon Charette informó de que la funcionalidad para reinicializar contraseñas en Django, una infraestructura de soporte de alto nivel para desarrollo web Python, utiliza una consulta Unicode que no distingue mayúsculas y minúsculas para obtener las cuentas que casan con la dirección de correo electrónico que solicita la reinicialización de la contraseña. Quien quiera realizar un ataque puede aprovecharse de este defecto para, potencialmente, obtener tokens de reinicialización de contraseñas y hacerse con el control de cuentas.

Para más detalles, consulte https://www.djangoproject.com/weblog/2019/dec/18/security-releases/

Para la distribución «antigua estable» (stretch), este problema se ha corregido en la versión 1:1.10.7-2+deb9u7.

Para la distribución «estable» (buster), este problema se ha corregido en la versión 1:1.11.27-1~deb10u1.

Le recomendamos que actualice los paquetes de python-django.

Para información detallada sobre el estado de seguridad de python-django, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/python-django