Bulletin d'alerte Debian

DLA-272-1 python-django -- Mise à jour de sécurité pour LTS

Date du rapport :
16 juillet 2015
Paquets concernés :
python-django
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-2317, CVE-2015-5143, CVE-2015-5144.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Django, un environnement de développement web de haut niveau en Python :

  • CVE-2015-2317

    Daniel Chatfield a découvert que python-django, un environnement de développement web de haut niveau en Python, ne gérait pas correctement des URL redirigées fournies par les utilisateurs. Un attaquant distant pourrait utiliser ce défaut pour réaliser une attaque de script intersite.

  • CVE-2015-5143

    Eric Peterson et Lin Hua Cheng ont découvert qu'un nouvel enregistrement vide est créé dans le stockage de session, chaque fois qu'une session est consultée, et qu'une clé de session inconnue est fournie dans le cookie de requête. Cela pourrait permettre à des attaquants distants de saturer le stockage de session ou d'évincer les enregistrements de session d'autres utilisateurs.

  • CVE-2015-5144

    Sjoerd Job Postmus a découvert que certains validateurs internes ne rejetaient pas correctement les nouvelles lignes dans les valeurs d'entrée. Cela pourrait permettre à des attaquants distants d'injecter des en-têtes dans les messages et les réponses HTTP.

Pour la distribution oldoldstable (Squeeze), ces problèmes ont été corrigés dans la version 1.2.3-3+squeeze13.