Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3338-1 python-django

Bulletin d'alerte Debian

DSA-3338-1 python-django -- Mise à jour de sécurité

Date du rapport :

18 août 2015

Paquets concernés :

python-django

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-5963, CVE-2015-5964.

Plus de précisions :

Lin Hua Cheng a découvert qu'une session pourrait être créée lors d'un accès anonyme à la vue django.contrib.auth.views.logout. Cela pourrait permettre à des attaquants distants de saturer le stockage de session ou d'évincer les enregistrements de session d'autres utilisateurs.

De plus, les méthodes contrib.sessions.backends.base.SessionBase.flush() et cache_db.SessionStore.flush() ont été modifiées pour éviter également la création d'une nouvelle session vide.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.4.5-1+deb7u13.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.7.7-1+deb8u2.

Pour la distribution unstable (Sid), ces problèmes seront prochainement corrigés.

Nous vous recommandons de mettre à jour vos paquets python-django.