Bulletin d'alerte Debian

DSA-3010-1 python-django -- Mise à jour de sécurité

Date du rapport :
22 août 2014
Paquets concernés :
python-django
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-0480, CVE-2014-0481, CVE-2014-0482, CVE-2014-0483.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Django, un environnement de développement web de haut niveau en Python. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :

  • CVE-2014-0480

    Florian Apolloner a découvert que dans certaines situations, la recherche inverse d’URL pourrait créer des URL relatives du plus haut niveau (scheme-relative) qui pourrait rediriger un utilisateur de manière inattendue vers un hôte différent, menant à des attaques d'hameçonnage.

  • CVE-2014-0481

    David Wilson a signalé une vulnérabilité de déni de service d'envoi de fichiers. Dans sa configuration par défaut, le traitement d'envoi de fichiers de Django peut se dégrader en produisant un très grand nombre d'appels système « os.stat() » lors de l'envoi d'un nom de fichier en double. Un attaquant distant avec la capacité d'envoyer des fichiers peut altérer les performances du traitement d'envoi, et éventuellement le rendre extrêmement lent.

  • CVE-2014-0482

    David Greisen a découvert que dans certaines circonstances, l'utilisation de l'intergiciel RemoteUserMiddleware et du moteur d'authentification RemoteUserBackend pourrait faire qu'un utilisateur reçoive la session d'un autre utilisateur, si une modification de l'en-tête REMOTE_USER se produit sans les actions correspondantes de déconnexion et de reconnexion.

  • CVE-2014-0483

    Collin Anderson a découvert qu'il est possible de révéler les données de n'importe quel champ en modifiant les paramètres popup et to_field de la chaîne de requête sur une page de formulaire de modification d'administrateur. Un utilisateur avec l'accès à l'interface d'administration, et avec une connaissance suffisante de la structure du modèle et les URL appropriées, pourrait construire des vues additionnelles (« popup ») qui pourraient afficher les valeurs de champs sans relation, y compris des champs que le développeur de l'application n'avait pas l'intention d'exposer de cette façon.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.4.5-1+deb7u8.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.6.6-1.

Nous vous recommandons de mettre à jour vos paquets python-django.