Bulletin d'alerte Debian

DSA-2934-1 python-django -- Mise à jour de sécurité

Date du rapport :
19 mai 2014
Paquets concernés :
python-django
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-0472, CVE-2014-0473, CVE-2014-0474, CVE-2014-1418, CVE-2014-3730.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Django, un environnement de développement web de haut niveau en Python. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2014-0472

    Benjamin Bach a découvert que Django manipulait incorrectement les chemins séparés par des points de Python lors de l'utilisation de la fonction reverse() de résolution d'URL. Un attaquant capable de demander une vue contrefaite pour l'occasion à partir d'une application Django pourrait utiliser ce problème pour faire importer par Django des modules arbitraires à partir du chemin de Python, avec comme conséquence une possible exécution de code.

  • CVE-2014-0473

    Paul McMillan a découvert que Django mettait en cache incorrectement certaines pages qui contenaient des cookies CSRF. Un attaquant distant pourrait utiliser ce défaut pour se procurer le jeton CSRF d'un autre utilisateur et contourner les protections CSRF prévues dans une application Django.

  • CVE-2014-0474

    Michael Koziarski a découvert que certaines classes de champs de modèle de Django ne réalisaient pas correctement la conversion de type sur leurs arguments. Cela permet à des attaquants distants d'obtenir des résultats imprévus.

  • CVE-2014-1418

    Michael Nelson, Natalia Bidart et James Westby ont découvert que des données mises en cache dans Django pourraient être fournies à une session différente ou à un utilisateur sans aucune session. Un attaquant peut utiliser cela pour obtenir des données privées ou empoisonner les caches.

  • CVE-2014-3730

    Peter Kuma et Gavin Wahl ont découvert que Django validait incorrectement certaines URL malformées des entrées des utilisateurs. Un attaquant peut utiliser cela pour provoquer des redirections inattendues.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 1.2.3-3+squeeze10.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.4.5-1+deb7u7.

Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 1.6.5-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.6.5-1.

Nous vous recommandons de mettre à jour vos paquets python-django.