Bulletin d'alerte Debian

DLA-2622-1 python-django -- Mise à jour de sécurité pour LTS

Date du rapport :
9 avril 2021
Paquets concernés :
python-django
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2021-28658.
Plus de précisions :

Il a été découvert qu’il existait un problème potentiel de traversée de répertoires dans Django, un cadriciel de développement web basé sur Python.

La vulnérabilité pouvait être exploitée à l’aide de noms de fichier contrefaits de manière malveillante. Cependant, les gestionnaires de téléchargement construits dans Django lui-même n’étaient pas affectés.

  • CVE-2021-28658

    Dans Django, versions 2.2 avant la version 2.2.20, versions 3.0 avant la version 3.0.14 et versions 3.1 avant la version 3.1.8, MultiPartParser permettait une traversée de répertoires à l’aide des fichiers téléchargés avec des noms de fichier contrefaits de manière adaptée. Les gestionnaires internes n’étaient pas affectés par cette vulnérabilité.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1:1.10.7-2+deb9u12.

Nous vous recommandons de mettre à jour vos paquets python-django.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.