Bulletin d'alerte Debian
DLA-2906-1 python-django -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 1er février 2022
- Paquets concernés :
- python-django
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2022-22818, CVE-2022-23833.
- Plus de précisions :
-
Il y avait deux vulnérabilités dans Django, un cadriciel populaire de développement web basé sur Python :
- CVE-2022-22818
Vulnérabilité XSS potentielle au moyen d'une étiquette de template {% debug %}.
L'étiquette de template {% debug %} n'encodait pas correctement le contexte en cours, constituant un vecteur d’attaque XSS.
Afin d'éviter cette vulnérabilité, {% debug %} ne fournit plus d'information de sortie quand le réglage de DEBUG a la valeur False et assure que toutes les variables de contexte sont correctement protégées quand le réglage de DEBUG a la valeur True.
- CVE-2022-23833
Déni de service potentiel dans l'envoi de fichiers.
Passer certaines entrées à des formes multipart pourrait avoir pour conséquence une boucle infinie lors de l'analyse des fichiers.
Pour Debian 9
Stretch
, ces problèmes ont été corrigés dans la version 1:1.10.7-2+deb9u15.Nous vous recommandons de mettre à jour vos paquets python-django.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2022-22818