Bulletin d'alerte Debian

DLA-885-1 python-django -- Mise à jour de sécurité pour LTS

Date du rapport :
5 avril 2017
Paquets concernés :
python-django
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-7233, CVE-2017-7234.
Plus de précisions :

Deux vulnérabilités ont été découvertes dans python-django, un cadriciel de développement web de haut niveau en Python.

  • CVE-2017-7233 (#859515)

    Attaque de redirection ouverte et attaque XSS possible à l’aide de redirections d’URL numérique fournies par l’utilisateur. Django s’appuie sur l’entrée d’utilisateur dans quelques cas (par exemple, django.contrib.auth.views.login() et i18n) pour rediriger l’utilisateur vers une URL on success. La vérification de sécurité pour ces redirections (à savoir is_safe_url()) considérait une URL numérique (par exemple, http:999999999) safe alors que cela ne devait pas être le cas. Aussi, si un développeur comptait sur is_safe_url() pour fournir des cibles de redirection sûres et mettait de telles URL dans des liens, il pourrait subir une attaque XSS.

  • CVE-2017-7234 (#895516)

    Vulnérabilité de redirection ouverte dans django.views.static.serve. Une URL contrefaite et malveillante vers un site Django utilisant le visualisateur serve() pourrait rediriger vers n’importe quel autre domaine. Le visualisateur ne redirige plus car il ne fournit aucune fonction connue utile.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 1.4.22-1+deb7u3 de python-django.

Nous vous recommandons de mettre à jour vos paquets python-django.