[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/2014/dsa-3010.wml

Bonjour,

Une nouvelle annonce de sécurité vient d'être publiée. En voici une
traduction.
Merci d'avance pour vos relectures.

Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Django, un environnement
de développement web de haut niveau en Python. Le projet « Common
Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0480";>CVE-2014-0480</a>

<p>Florian Apolloner a découvert que dans certaines situations, la recherche
inverse dâ??URL pourrait créer des URL de scheme relative qui pourrait
rediriger un utilisateur de manière inattendue vers un hôte différent, menant
à des attaques d'hameçonnage.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0481";>CVE-2014-0481</a>

<p>David Wilson a signalé une vulnérabilité de déni de service d'envoi de 
fichiers. Dans sa configuration par défaut, le traitement d'envoi de fichiers
de Django peut se dégrader en produisant un très grand nombre d'appels système
« os.stat() » lors de l'envoi d'un nom de fichier en double. Un attaquant
distant avec la capacité d'envoyer des fichiers peut altérer les performances
du traitement d'envoi, et éventuellement le rendre extrêmement lent.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0482";>CVE-2014-0482</a>

<p>David Greisen a découvert que dans certaines circonstances, l'utilisation
de l'intergiciel RemoteUserMiddleware et du moteur d'authentification
RemoteUserBackend pourrait faire qu'un utilisateur reçoive la session d'un
autre utilisateur, si une modification de l'en-tête REMOTE_USER se produit
sans les actions correspondantes de déconnexion et de reconnexion.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0483";>CVE-2014-0483</a>

<p>Collin Anderson a découvert qu'il est possible de révéler les données de
n'importe quel champ en modifiant les paramètres <q>popup</q> et
<q>to_field</q> de la chaîne de requête sur une page de formulaire de
modification d'administrateur. Un utilisateur avec l'accès à l'interface
d'administration, et avec une connaissance suffisante de la structure du
modèle et les URL appropriées, pourrait construire des vues additionnelles
(« popup ») qui pourraient afficher les valeurs de champs sans relation,
y compris des champs que le développeur de l'application n'avait pas 
l'intention d'exposer de cette façon.</p></li>

</ul>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.4.5-1+deb7u8.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.6.6-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets python-django.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3010.data"
# $Id: dsa-3010.wml,v 1.1 2014/08/22 22:49:06 jipege1-guest Exp $
Reply to: