Bulletin d'alerte Debian

DSA-2758-1 python-django -- Déni de service

Date du rapport :
17 septembre 2013
Paquets concernés :
python-django
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 723043.
Dans le dictionnaire CVE du Mitre : CVE-2013-1443.
Plus de précisions :

python-django, un environnement de développement web de haut niveau en Python, est prédisposé à une vulnérabilité de déni de service par des mots de passe de grande taille.

Un attaquant distant non authentifié pourrait causer un déni de service en soumettant des mots de passe arbitrairement grands, dont la vérification par de coûteux calculs de hashs monopoliserait les ressources du serveur.

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 1.2.3-3+squeeze8.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.4.5-1+deb7u4.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.5.4-1.

Nous vous recommandons de mettre à jour vos paquets python-django.