Bulletin d'alerte Debian
DSA-3305-1 python-django -- Mise à jour de sécurité
- Date du rapport :
- 8 juillet 2015
- Paquets concernés :
- python-django
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2015-5143, CVE-2015-5144.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans Django, un environnement de développement web de haut niveau en Python :
- CVE-2015-5143
Eric Peterson et Lin Hua Cheng ont découvert qu'un nouvel enregistrement vide est créé dans le stockage de session, chaque fois qu'une session est consultée, et qu'une clé de session inconnue est fournie dans le cookie de requête. Cela pourrait permettre à des attaquants distants de saturer le stockage de session ou d'évincer les enregistrements de session d'autres utilisateurs.
- CVE-2015-5144
Sjoerd Job Postmus a découvert que certains validateurs internes ne rejetaient pas correctement les nouvelles lignes dans les valeurs d'entrée. Cela pourrait permettre à des attaquants distants d'injecter des en-têtes dans les messages et les réponses HTTP.
Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.4.5-1+deb7u12.
Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.7.7-1+deb8u1.
Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.
Nous vous recommandons de mettre à jour vos paquets python-django.
- CVE-2015-5143