Bulletin d'alerte Debian

DLA-2906-1 python-django -- Mise à jour de sécurité pour LTS

Date du rapport :
1er février 2022
Paquets concernés :
python-django
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2022-22818, CVE-2022-23833.
Plus de précisions :

Il y avait deux vulnérabilités dans Django, un cadriciel populaire de développement web basé sur Python :

  • CVE-2022-22818

    Vulnérabilité XSS potentielle au moyen d'une étiquette de template {% debug %}.

    L'étiquette de template {% debug %} n'encodait pas correctement le contexte en cours, constituant un vecteur d’attaque XSS.

    Afin d'éviter cette vulnérabilité, {% debug %} ne fournit plus d'information de sortie quand le réglage de DEBUG a la valeur False et assure que toutes les variables de contexte sont correctement protégées quand le réglage de DEBUG a la valeur True.

  • CVE-2022-23833

    Déni de service potentiel dans l'envoi de fichiers.

    Passer certaines entrées à des formes multipart pourrait avoir pour conséquence une boucle infinie lors de l'analyse des fichiers.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1:1.10.7-2+deb9u15.

Nous vous recommandons de mettre à jour vos paquets python-django.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.