Bulletin d'alerte Debian

DLA-349-1 python-django -- Mise à jour de sécurité pour LTS

Date du rapport :
25 novembre 2015
Paquets concernés :
python-django
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-8213.
Plus de précisions :

Il y avait une potentielle fuite de configuration dans le filtre de gabarit de date de Django, une structure de développement web.

Si une application autorise des utilisateurs à spécifier un format de date non valable et transmet ce format au filtre de date, par exemple {{ last_updated|date:user_date_format }}, alors, un utilisateur malveillant pourrait obtenir des secrets de la configuration de l'application en spécifiant une clé de configuration à la place d'un format de date, par exemple SECRET_KEY au lieu de j/m/Y.

Pour remédier à cela, la fonction sous-jacente utilisée par le filtre de gabarit de date, django.utils.formats.get_format(), ne permet désormais d'accéder qu'aux réglages de formatage de date et d'heure.

Pour Debian 6 Squeeze, ce problème a été corrigé dans python-django version 1.2.3-3+squeeze15.