Bulletin d’alerte pour Python-django

Un cadriciel de développement web de haut niveau en python est victime d'une potentielle vulnérabilité de script inter-site, selon Nick Brunn.

Pour être plus précis, la fonction utilitaire is_safe_url utilisée pour valider qu'une URL utilisée se trouve sur l'hôte courant pour éviter d'éventuelles redirections dangereuses à partir de requêtes contrefaites, fonctionnait comme prévu pour les URL HTTP et HTTPS, mais permettait les redirections d'autres schémas, comme javascript.

La fonction is_safe_url a été modifiée pour reconnaître correctement et rejeter les URLs indiquant un autre schémas que HTTP ou HTTPS, pour prévenir les attaques par script intersite par la redirection d'autres schémas.

  • Debian Squeeze : Problème corrigé dans la version 1.2.3-3+squeeze6.
  • Debian Wheezy : Problème corrigé dans la version 1.4.5-1+deb7u1.
  • Debian Jessie : Problème corrigé dans la version 1.5.2-1.
  • Debian Sid : Problème corrigé dans la version 1.5.2-1.

La communauté Debian recommande de mettre à jour vos paquets python-django.

cover-django

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian a publié 3119 articlesVoir toutes les publications de cet auteur

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.