Bulletin d’alerte pour Python-django

Un cadriciel de développement web de haut niveau en python est victime d'une potentielle vulnérabilité de script inter-site, selon Nick Brunn.

Pour être plus précis, la fonction utilitaire is_safe_url utilisée pour valider qu'une URL utilisée se trouve sur l'hôte courant pour éviter d'éventuelles redirections dangereuses à partir de requêtes contrefaites, fonctionnait comme prévu pour les URL HTTP et HTTPS, mais permettait les redirections d'autres schémas, comme javascript.

La fonction is_safe_url a été modifiée pour reconnaître correctement et rejeter les URLs indiquant un autre schémas que HTTP ou HTTPS, pour prévenir les attaques par script intersite par la redirection d'autres schémas.

  • Debian Squeeze : Problème corrigé dans la version 1.2.3-3+squeeze6.
  • Debian Wheezy : Problème corrigé dans la version 1.4.5-1+deb7u1.
  • Debian Jessie : Problème corrigé dans la version 1.5.2-1.
  • Debian Sid : Problème corrigé dans la version 1.5.2-1.

La communauté Debian recommande de mettre à jour vos paquets python-django.

cover-django

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3287 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.