Bulletin d'alerte Debian

DLA-2676-1 python-django -- Mise à jour de sécurité pour LTS

Date du rapport :
5 juin 2021
Paquets concernés :
python-django
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2021-33203, CVE-2021-33571.
Plus de précisions :

Deux problèmes ont été découverts dans Django, le cadriciel de développement web basé sur Python.

  • CVE-2021-33203

    Traversée potentielle de répertoires à l'aide d'admindocs

    Des membres du personnel pourraient utiliser la vue TemplateDetailView d’admindocs pour vérifier l’existence de fichiers arbitraires. De plus, si (et seulement si) les modèles d’admindocs par défaut ont été personnalisés par les développeurs pour aussi exposer le contenu de fichiers, alors non seulement l’existence mais le contenu des fichiers est aussi exposé.

    Comme mitigation, le nettoyage des chemins est désormais appliqué et seuls les fichiers dans les répertoires racine de modèles peuvent être chargés.

    La sévérité de ce problème est faible selon la politique de sécurité de Django. Merci à Rasmus Lerchedahl Petersen et Rasmus Wriedt Larsen de l’équipe CodeQL de Python pour le rapport.

  • CVE-2021-33571

    Possibles attaques indéterminées SSRF, RFI et LFI puisque les validateurs acceptent des zéros en tête des adresses IPv4

    URLValidator, validate_ipv4_address() et validate_ipv46_address() n’interdisent pas des zéros en tête de valeur littérale en octal. Si de telles valeurs sont utilisées, des attaques SSRF, RFI et LFI indéterminées pourraient être subies.

    Les validateurs validate_ipv4_address() et validate_ipv46_address() n’étaient pas affectés avec Python 3.9.5+.

    Ce problème est de sévérité intermédiaire selon la politique de sécurité de Django.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1:1.10.7-2+deb9u14.

Nous vous recommandons de mettre à jour vos paquets python-django.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.