Bulletin d'alerte Debian

DSA-4161-1 python-django -- Mise à jour de sécurité

Date du rapport :
1er avril 2018
Paquets concernés :
python-django
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-7536, CVE-2018-7537.
Plus de précisions :

James Davis a découvert deux problèmes dans Django, un environnement de développement web de haut niveau en Python, qui peuvent conduire à une attaque par déni de service. Un attaquant doté du contrôle sur l'entrée de la fonction django.utils.html.urlize() ou des méthodes chars() et words() de django.utils.text.Truncator pourrait fabriquer une chaîne qui pourrait bloquer l'exécution de l'application.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 1.7.11-1+deb8u3.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 1:1.10.7-2+deb9u1.

Nous vous recommandons de mettre à jour vos paquets python-django.

Pour disposer d'un état détaillé sur la sécurité de python-django, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/python-django