Bulletin d'alerte Debian

DLA-301-1 python-django -- Mise à jour de sécurité pour LTS

Date du rapport :
26 août 2015
Paquets concernés :
python-django
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-5963, CVE-2015-5964.
Plus de précisions :

Possibilité de déni de service dans la vue logout() par remplissage du stockage de session.

Auparavant, une session pouvait être créée lors d'un accès anonyme à la vue django.contrib.auth.views.logout (à condition qu'elle ne soit pas décorée avec django.contrib.auth.decorators.login_required comme c'est fait avec l'interface d'administration). Cela pourrait permettre à un attaquant de créer facilement plusieurs nouveaux enregistrements en envoyant des requêtes répétées, et éventuellement de saturer le stockage de session ou d'évincer les enregistrements de session d'autres utilisateurs.

L'intergiciel django.contrib.sessions.middleware.SessionMiddleware a été modifié pour ne plus créer des enregistrements de session vide.

Il a été assigné à cette partie du correctif le CVE-2015-5963.

De plus, les méthodes contrib.sessions.backends.base.SessionBase.flush() et cache_db.SessionStore.flush() ont été modifiées pour éviter également la création d'une nouvelle session vide. Les responsables de dorsal de session tiers devraient vérifier si la même vulnérabilité est présente dans leur dorsal et la corriger le cas échéant.

Il a été assigné à cette partie du correctif le CVE-2015-5964.

Nous vous recommandons de mettre à jour vos paquets python-django.