LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2022 / Informations sur la sécurité -- DLA-2906-1 python-django

Bulletin d'alerte Debian

DLA-2906-1 python-django -- Mise à jour de sécurité pour LTS

Date du rapport :

1^er février 2022

Paquets concernés :

python-django

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2022-22818, CVE-2022-23833.

Plus de précisions :

Il y avait deux vulnérabilités dans Django, un cadriciel populaire de développement web basé sur Python :

• CVE-2022-22818

  Vulnérabilité XSS potentielle au moyen d'une étiquette de template {% debug %}.

  L'étiquette de template {% debug %} n'encodait pas correctement le contexte en cours, constituant un vecteur d’attaque XSS.

  Afin d'éviter cette vulnérabilité, {% debug %} ne fournit plus d'information de sortie quand le réglage de DEBUG a la valeur False et assure que toutes les variables de contexte sont correctement protégées quand le réglage de DEBUG a la valeur True.

• CVE-2022-23833

  Déni de service potentiel dans l'envoi de fichiers.

  Passer certaines entrées à des formes multipart pourrait avoir pour conséquence une boucle infinie lors de l'analyse des fichiers.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1:1.10.7-2+deb9u15.

Nous vous recommandons de mettre à jour vos paquets python-django.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.