Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2332-1 python-django

Bulletin d'alerte Debian

DSA-2332-1 python-django -- Plusieurs problèmes

Date du rapport :

29 octobre 2011

Paquets concernés :

python-django

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 641405.
Dans le dictionnaire CVE du Mitre : CVE-2011-4136, CVE-2011-4137, CVE-2011-4138, CVE-2011-4139, CVE-2011-4140.

Plus de précisions :

Paul McMillan, Mozilla et l'équipe principale de Django ont découvert plusieurs vulnérabilités dans Django, une structure de développement web en Python :

• CVE-2011-4136

  En utilisant des sessions basées sur la mémoire et le cache, les sessions Django sont enregistrées directement dans l'espace de nom racine du cache. Si des données utilisateurs sont enregistrées dans le même cache, un utilisateur distant pourrait s'emparer d'une session.

• CVE-2011-4137, CVE-2011-4138

  Le type de champ URLfield de Django vérifie par défaut l'URL fournie en lui envoyant une requête, sans limite de temps. Un déni de service est possible en fournissant une URL préparée pour l'occasion qui garde la connexion ouverte indéfiniment ou remplit la mémoire du serveur Django.

• CVE-2011-4139

  Django utilisait des en-têtes X-Forwarded-Host pour construire une URL complète. Cet en-tête pourrait ne pas contenir une entrée de confiance et pourrait être utilisé pour empoisonner le cache.

• CVE-2011-4140

  Le mécanisme de protection contre les contrefaçons de requête intersite (CSRF) de Django ne traite pas correctement les configurations de serveur web qui gèrent les en-têtes Host HTTP arbitraires. Cela permet aux attaquants distants de déclencher des requêtes contrefaites non authentifiées.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.0.2-1+lenny3.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.2.3-3+squeeze2.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1.3.1-1.

Nous vous recommandons de mettre à jour vos paquets python-django.