LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2018 / Informations sur la sécurité -- DLA-1303-1 python-django

Bulletin d'alerte Debian

DLA-1303-1 python-django -- Mise à jour de sécurité pour LTS

Date du rapport :

8 mars 2018

Paquets concernés :

python-django

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-7536, CVE-2018-7537.

Plus de précisions :

Plusieurs fonctions étaient extrêmement lentes pour évaluer certaines entrées à cause de vulnérabilités de retour arrière désastreux dans plusieurs expressions rationnelles.

• CVE-2018-7536

  La fonction django.utils.html.urlize() étaient extrêmement lentes pour évaluer certaines entrées à cause de vulnérabilités de retour arrière désastreux dans deux expressions rationnelles. La fonction urlize() est utilisée pour mettre en œuvre les filtres de modèle urlize and urlizetrunc, qui donc étaient vulnérables.

  Les expressions rationnelles problématiques sont remplacées par une logique d’analyse qui se comporte de manière similaire.

• CVE-2018-7537

  Si les méthodes chars() et words() de django.utils.text.Truncator étaient passées avec l’argument html=True, elles étaient extrêmement lentes à évaluer certaines entrées à cause d’une vulnérabilité de retour sur trace désastreux dans une expression rationnelle. Les méthodes chars() et words() sont utilisées pour mettre en œuvre les filtres de modèle truncatechars_html et truncatewords_html, qui donc étaient vulnérables.

  Le problème de retour sur trace dans les expressions rationnelles est corrigé.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.4.22-1+deb7u4.

Nous vous recommandons de mettre à jour vos paquets python-django.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.