Bulletin d'alerte Debian

DSA-3305-1 python-django -- Mise à jour de sécurité

Date du rapport :
8 juillet 2015
Paquets concernés :
python-django
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-5143, CVE-2015-5144.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Django, un environnement de développement web de haut niveau en Python :

  • CVE-2015-5143

    Eric Peterson et Lin Hua Cheng ont découvert qu'un nouvel enregistrement vide est créé dans le stockage de session, chaque fois qu'une session est consultée, et qu'une clé de session inconnue est fournie dans le cookie de requête. Cela pourrait permettre à des attaquants distants de saturer le stockage de session ou d'évincer les enregistrements de session d'autres utilisateurs.

  • CVE-2015-5144

    Sjoerd Job Postmus a découvert que certains validateurs internes ne rejetaient pas correctement les nouvelles lignes dans les valeurs d'entrée. Cela pourrait permettre à des attaquants distants d'injecter des en-têtes dans les messages et les réponses HTTP.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.4.5-1+deb7u12.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.7.7-1+deb8u1.

Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets python-django.