LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2020 / Informations sur la sécurité -- DLA-2233-1 python-django

Bulletin d'alerte Debian

DLA-2233-1 python-django -- Mise à jour de sécurité pour LTS

Date du rapport :

4 juin 2020

Paquets concernés :

python-django

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2020-13254, CVE-2020-13596.

Plus de précisions :

Il a été découvert qu’il existait deux problèmes dans Django, le cadriciel de développement web en Python :

• CVE-2020-13254 : divulgation potentielle de données à l’aide de clés memcached mal formées.

  Dans le cas où un dorsal memcached ne réalise pas une validation de clé, le passage de clés mal formées en cache pourrait aboutir à une collision de clés et une divulgation potentielle de données. Pour éviter cela, une validation de clé a été ajoutée dans les dorsaux memcached de cache.

• CVE-2020-13596 : XSS possible à l'aide d'un ForeignKeyRawIdWidget d’administration.

  Les paramètres de requête pour le ForeignKeyRawIdWidget d’administration n’étaient pas proprement encodés pour l’URL, constituant un vecteur d’attaque XSS. ForeignKeyRawIdWidget assure désormais que les paramètres de requête soient correctement encodés pour l’URL.

Pour plus d’informations, veuillez consulter l’annonce de l’amont.

Cette publication corrige aussi des échecs de test introduits dans 1.7.11-1+deb8u3 et 1.7.11-1+deb8u8 par les correctifs respectifs pour CVE-2018-7537 et CVE-2019-19844.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.7.11-1+deb8u9.

Nous vous recommandons de mettre à jour vos paquets python-django.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.