Bulletin d'alerte Debian

DLA-3191-1 python-django -- Mise à jour de sécurité pour LTS

Date du rapport :
17 novembre 2022
Paquets concernés :
python-django
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2021-45452, CVE-2022-22818, CVE-2022-23833.
Plus de précisions :

Plusieurs problèmes ont été découverts dans Django, un cadriciel de développement web basé sur Python :

  • CVE-2021-45452

    Storage.save permettait une traversée de répertoires si des noms de fichier contrefaits lui étaient directement passés.

  • CVE-2022-22818

    La balise de patron {% debug %} n’encodait pas correctement le contenu actuel. Cela pourrait conduire à une vulnérabilité de script intersite (XSS).

  • CVE-2022-23833

    Le HTTP MultiPartParser avait un problème par lequel certaines entrées pour des formulaires multiparties pourraient aboutir à une boucle infinie lors de l’analyse de fichiers téléversés.

Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 1:1.11.29-1+deb10u4.

Nous vous recommandons de mettre à jour vos paquets python-django.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.