Bulletin d'alerte Debian

DSA-3544-1 python-django -- Mise à jour de sécurité

Date du rapport :
7 avril 2016
Paquets concernés :
python-django
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 816434.
Dans le dictionnaire CVE du Mitre : CVE-2016-2512, CVE-2016-2513.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Django, un cadre de développement web de haut niveau en Python. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2016-2512

    Mark Striemer a découvert que certaines URL redirigées fournies par l'utilisateur contenant des identités d'authentification basiques sont gérées incorrectement, permettant éventuellement à attaquant distant de réaliser une redirection malveillante ou une attaque par script intersite.

  • CVE-2016-2513

    Sjoerd Job Postmus a découvert que Django permet une énumération d'utilisateur à travers une différence de temps lors des mises à jour du nombre d'itérations du moteur de hachage de mot de passe.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.4.5-1+deb7u16.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.7.7-1+deb8u4.

Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 1.9.4-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.9.4-1.

Nous vous recommandons de mettre à jour vos paquets python-django.