Simon Willison a découvert que dans Django, une interface web en Python, la fonctionnalité qui conserve les données d'un POST HTTP pendant la réauthentification d'un utilisateur permettait à un attaquant à distance d'effectuer une modification non autorisée des données à l'aide d'une falsification de requête intersites. Ceci est possible en dépit de l'activation du module externe pour empêcher les falsifications de requêtes intersites. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie ce problème sous le nom CVE-2008-3909.
Dans cette mise à jour, la fonctionnalité affectée est désactivée ; ceci est en accord avec la solution préférée par les programmeurs en amont pour cette situation.
Cette mise à jour profite de l'occasion pour inclure également la correction d'une attaque relativement mineure, de type déni de service, dans l'interface d'internationalisation, connue sous le nom de CVE-2007-5712.
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 0.95.1-1etch2.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0-1.
Nous vous recommandons de mettre à jour votre paquet python-django.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.