Bulletin d'alerte Debian

DSA-1640-1 python-django -- Plusieurs vulnérabilités

Date du rapport :
20 septembre 2008
Paquets concernés :
python-django
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 497765, Bogue 448838.
Dans le dictionnaire CVE du Mitre : CVE-2008-3909, CVE-2007-5712.
Plus de précisions :

Simon Willison a découvert que dans Django, une interface web en Python, la fonctionnalité qui conserve les données d'un POST HTTP pendant la réauthentification d'un utilisateur permettait à un attaquant à distance d'effectuer une modification non autorisée des données à l'aide d'une falsification de requête intersites. Ceci est possible en dépit de l'activation du module externe pour empêcher les falsifications de requêtes intersites. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie ce problème sous le nom CVE-2008-3909.

Dans cette mise à jour, la fonctionnalité affectée est désactivée ; ceci est en accord avec la solution préférée par les programmeurs en amont pour cette situation.

Cette mise à jour profite de l'occasion pour inclure également la correction d'une attaque relativement mineure, de type déni de service, dans l'interface d'internationalisation, connue sous le nom de CVE-2007-5712.

Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 0.95.1-1etch2.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0-1.

Nous vous recommandons de mettre à jour votre paquet python-django.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :
http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1-1etch2.dsc
http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1.orig.tar.gz
http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1-1etch2.diff.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1-1etch2_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.