S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 28 décembre 2010
N° CERTA-2010-AVI-635
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans Django

Gestion du document

Référence CERTA-2010-AVI-635
Titre Vulnérabilités dans Django
Date de la première version28 décembre 2010
Date de la dernière version11 janvier 2011
Source(s) Bulletin de sécurité Django du 22 décembre 2010

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Déni de service à distance

Systèmes affectés

  • Django versions 1.1.x inférieures à 1.1.3 ;
  • Django versions 1.2.x inférieures à 1.2.4.

Résumé

Deux vulnérabilités, l'une permettant un déni de service et l'autre d'obtenir des informations confidentielles, ont été corrigées dans Django.

Description

Une mise à jour de Django corrige deux vulnérabilités. La première permet à une personne malveillante connaissant bien le modèle utilisé par l'application, d'obtenir des informations confidentielles. La seconde permet à un attaquant d'épuiser les ressources du serveur en lui envoyant des requêtes de changement de mots de passe spécialement conçues.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 28 décembre 2010
    version initiale.
    le 11 janvier 2011
    ajout des références au bulletin Ubuntu et aux CVE.