Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Déni de service à distance
- Injection de requêtes illégitimes par rebond (CSRF)
Systèmes affectés
- Django 1.2.x.
- Django 1.3.x ;
Résumé
Plusieurs vulnérabilités dans Django permettent à une personne malintentionnée de porter atteinte à la confidentialité et l'intégrité des données, de provoquer un déni de service à distance ou d'injecter illégitimement des requêtes par rebond.
Description
Quatre vulnérabilités ont été découvertes dans Django :
- une erreur dans la gestion des données de session permet à une personne malintentionnée de porter à atteinte à l'intégrité de données de session ;
- une vulnérabilité dans le champ URLField permet une consommation excessive des ressources du système ;
- une erreur dans la validation des adresses réticulaires permet de porter atteinte à la confidentialité de certaines données ;
- une vulnérabilité dans le traitement des requêtes permet à une personne malintentionnée de corrompre la mémoire tampon.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Django du 09 septembre 2011 https://www.djangoproject.com/weblog/2011/sep/09/security-releases-issued/
