Risque

  • Déni de service à distance ;
  • atteinte à la confidentialité des données.

Systèmes affectés

  • Django versions 1.1.x inférieures à 1.1.3 ;
  • Django versions 1.2.x inférieures à 1.2.4.

Résumé

Deux vulnérabilités, l'une permettant un déni de service et l'autre d'obtenir des informations confidentielles, ont été corrigées dans Django.

Description

Une mise à jour de Django corrige deux vulnérabilités. La première permet à une personne malveillante connaissant bien le modèle utilisé par l'application, d'obtenir des informations confidentielles. La seconde permet à un attaquant d'épuiser les ressources du serveur en lui envoyant des requêtes de changement de mots de passe spécialement conçues.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation