Bulletin d’alerte pour Python-django

25/08/201322/02/2015 Florian BURNEL 2500 Views Aucun commentaire Sécurité, Unix, Vulnérabilité 0 min read

Un cadriciel de développement web de haut niveau en python est victime d'une potentielle vulnérabilité de script inter-site, selon Nick Brunn.

Pour être plus précis, la fonction utilitaire is_safe_url utilisée pour valider qu'une URL utilisée se trouve sur l'hôte courant pour éviter d'éventuelles redirections dangereuses à partir de requêtes contrefaites, fonctionnait comme prévu pour les URL HTTP et HTTPS, mais permettait les redirections d'autres schémas, comme javascript.

La fonction is_safe_url a été modifiée pour reconnaître correctement et rejeter les URLs indiquant un autre schémas que HTTP ou HTTPS, pour prévenir les attaques par script intersite par la redirection d'autres schémas.

Debian Squeeze : Problème corrigé dans la version 1.2.3-3+squeeze6.
Debian Wheezy : Problème corrigé dans la version 1.4.5-1+deb7u1.
Debian Jessie : Problème corrigé dans la version 1.5.2-1.
Debian Sid : Problème corrigé dans la version 1.5.2-1.

La communauté Debian recommande de mettre à jour vos paquets python-django.

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5572.Voir tous les posts