LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1814-1 python-django

Bulletin d'alerte Debian

DLA-1814-1 python-django -- Mise à jour de sécurité pour LTS

Date du rapport :

5 juin 2019

Paquets concernés :

python-django

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2019-3498.

Plus de précisions :

Il existait une vulnérabilité de script intersite (XSS) dans le cadriciel de développement Django.

• CVE-2019-12308

  Un problème a été découvert dans Django 1.11 avant 1.11.21, 2.1 avant 2.1.9, et 2.2 avant 2.2.2. La valeur cliquable Current URL affichée par AdminURLFieldWidget indique la valeur fournie sans valider que ce soit une URL sûre. Par conséquent, une valeur non vérifiée stockée dans la base de données ou une valeur fournie comme valeur de paramètre de requête d’URL pourrait aboutir à un lien JavaScript cliquable.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.7.11-1+deb8u5.

Nous vous recommandons de mettre à jour vos paquets python-django.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.