Il a été découvert qu’il existait deux problèmes dans Django, le cadriciel de développement web en Python :
Dans le cas où un dorsal memcached ne réalise pas une validation de clé, le passage de clés mal formées en cache pourrait aboutir à une collision de clés et une divulgation potentielle de données. Pour éviter cela, une validation de clé a été ajoutée dans les dorsaux memcached de cache.
Les paramètres de requête pour le ForeignKeyRawIdWidget d’administration n’étaient pas proprement encodés pour l’URL, constituant un vecteur d’attaque XSS. ForeignKeyRawIdWidget assure désormais que les paramètres de requête soient correctement encodés pour l’URL.
Pour plus d’informations, veuillez consulter l’annonce de l’amont.
Cette publication corrige aussi des échecs de test introduits dans 1.7.11-1+deb8u3 et 1.7.11-1+deb8u8 par les correctifs respectifs pour CVE-2018-7537 et CVE-2019-19844.
Pour Debian 8 Jessie
, ces problèmes ont été corrigés dans
la version 1.7.11-1+deb8u9.
Nous vous recommandons de mettre à jour vos paquets python-django.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.