blob: 7d9a3fe4f4c7940379c8ed40179439eb626567f6 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
|
#utiliser wml::debian::translation-check translation="20c4faeac01b799f2bd48a05755e2ce9e87ab672" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Django, un environnement de développement web de haut niveau en Python.
Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0219">CVE-2015-0219</a>
<p>Jedediah Smith a signalé que la fonction environ de WSGI dans Django ne
faisait pas de distinction entre les en-têtes contenant des tirets et ceux
contenant des tirets bas. Un attaquant distant pourrait utiliser ce défaut
pour usurper des en-têtes WSGI.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0220">CVE-2015-0220</a>
<p>Mikko Ohtamaa a découvert que la fonction django.util.http.is_safe_url()
dans Django ne gérait pas correctement les espaces au début des URL redirigées
fournies par les utilisateurs. Un attaquant distant pourrait éventuellement
utiliser ce défaut pour réaliser une attaque de script intersite.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0221">CVE-2015-0221</a>
<p>Alex Gaynor a signalé un défaut dans la façon dont Django gérait la lecture
des fichiers dans la vue django.views.static.serve(). Un attaquant distant
pourrait éventuellement utiliser ce défaut pour monter un déni de service par
consommation de ressources.</p></li>
</ul>
<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.4.5-1+deb7u9.</p>
<p>Pour la prochaine distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.7.1-1.1.</p>
<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.7.1-1.1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets python-django.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3151.data"
# $Id$
|
