Bulletin d'alerte Debian

DSA-2163-1 python-django -- Multiples vulnérabilités

Date du rapport :
14 février 2011
Paquets concernés :
python-django
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-0696, CVE-2011-0697.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans la structure de développement web Django :

  • CVE-2011-0696

    Pour plusieurs raisons, la protection CSRF interne n'était pas utilisée pour valider les requêtes AJAX par le passé. Cependant, on a découvert que cette exception peut être utilisée avec une combinaison de greffons de navigateurs et de redirections et ne suffit donc pas.

  • CVE-2011-0697

    On a découvert que le formulaire d'envoi de fichiers est sujet aux attaques par script intersite à l'aide du nom de fichier.

Il est important de noter que cette mise à jour introduit de légères incompatibilités ascendantes suite aux corrections des précédents problèmes. Pour plus de précisions, veuillez consulter http://docs.djangoproject.com/en/1.2/releases/1.2.5 et plus particulièrement la section Backwards incompatible changes (modifications sans compatibilité ascendante).

Les paquets de l'ancienne distribution stable (Lenny) ne sont pas concernés par ces problèmes.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.2.3-3+squeeze1.

Pour la distribution testing (Wheezy), ce problème sera corrigé prochainement.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.2.5-1.

Nous vous recommandons de mettre à jour vos paquets python-django.