Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-3835-1 python-django

Bulletin d'alerte Debian

DSA-3835-1 python-django -- Mise à jour de sécurité

Date du rapport :

26 avril 2017

Paquets concernés :

python-django

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 842856, Bogue 859515, Bogue 859516.
Dans le dictionnaire CVE du Mitre : CVE-2016-9013, CVE-2016-9014, CVE-2017-7233, CVE-2017-7234.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Django, un cadre de développement web de haut niveau en Python. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2016-9013

  Marti Raudsepp a signalé qu'un utilisateur avec un mot de passe « codé en dur » est créé lors de l'exécution de tests avec une base de données Oracle.

• CVE-2016-9014

  Aymeric Augustin a découvert que Django ne valide pas correctement l'en-tête d'hôte avec settings.ALLOWED_HOSTS lorsque le réglage de débogage est activé. Un attaquant distant peut tirer avantage de ce défaut pour réaliser des attaques de « DNS rebinding ».

• CVE-2017-7233

  is_safe_url() ne traite pas correctement certaines URL numériques comme sûres. Un attaquant distant peut tirer avantage de ce défaut pour réaliser des attaques par script intersite (XSS) ou pour utiliser un serveur Django comme une redirection d'ouverture.

• CVE-2017-7234

  Phithon de Chaitin Tech a découvert une vulnérabilité de redirection d'ouverture dans la vue django.views.static.serve(). Notez que cette vue n'est pas faite pour une utilisation en production.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.7.11-1+deb8u2.

Nous vous recommandons de mettre à jour vos paquets python-django.