De multiples vulnérabilités de Django corrigées dans Ubuntu
Django est un puissant framework web open-source écrit en Python. Il est destiné à simplifier et à accélérer le processus de production d'applications web en offrant un cadre solide et adaptable pour la création de logiciels basés sur le web. Les mises à jour de sécurité d'Ubuntu ont révélé que plusieurs vulnérabilités de Django découvertes en 2023 ont été corrigées dans différentes versions d'Ubuntu. Il est fortement recommandé de mettre à jour les paquets vers les nouvelles versions dès que possible afin de préserver la sécurité de votre système.
Les vulnérabilités de Django corrigées dans Ubuntu
CVE-2023-43665
Date de correction : 4 octobre 2023
Wenchao Li a identifié un problème avec la fonction Truncator de Django, qui ne gérait pas correctement les entrées HTML excessivement longues. Un attaquant distant peut exploiter cette vulnérabilité pour déclencher une consommation excessive de ressources dans Django, ce qui peut entraîner un déni de service.
CVE-2023-41164
Date d'application du correctif : 18 septembre 2023
Une vulnérabilité a été découverte dans Django, qui traite mal certains URI contenant un grand nombre de caractères Unicode. Cette faille peut potentiellement être exploitée par un attaquant distant pour amener Django à consommer des ressources excessives ou à se bloquer, ce qui entraîne un déni de service.
CVE-2023-36053
Date d'application du correctif : 5 juillet 2023
Seokchan Yoon a identifié un problème dans la gestion par Django d'expressions régulières spécifiques. Un attaquant distant peut exploiter ce problème pour déclencher une consommation de ressources dans Django, ce qui peut conduire à un déni de service.
CVE-2023-31047
Date de correction : 3 mai, 2023
Moataz Al-Sharida et Nawaik ont trouvé un problème dans la gestion par Django de plusieurs téléchargements de fichiers à travers un seul champ de formulaire. Cette vulnérabilité peut être exploitée par un attaquant distant pour contourner certaines validations.
CVE-2023-24580
Date de correction : 14 février, 2023
Jakob Ackermann a identifié un problème dans la gestion par Django des téléchargements de fichiers spécifiques. Un attaquant distant peut exploiter cette vulnérabilité pour inciter Django à consommer des ressources, ce qui peut entraîner un déni de service.
Pour plus d'informations sur ces vulnérabilités, vous pouvez consulter la page des problèmes de sécurité de Django.
Réflexions finales
Ces vulnérabilités de Django ont également été corrigées dans différentes versions d'Ubuntu, y compris les systèmes d'exploitation en fin de vie, Ubuntu 16.04 et Ubuntu 18.04. Les mises à jour de sécurité ne sont donc disponibles qu'avec un abonnement Ubuntu Pro, ce qui n'est pas une option rentable.
Vous pouvez également envisager d'utiliser l'Extended Lifecycle Support de TuxCare, une solution abordable pour Ubuntu 16.04 et Ubuntu 18.04. Elle offre des correctifs de sécurité de niveau fournisseur pendant cinq années supplémentaires après la date de fin de vie, afin que vous puissiez continuer à profiter d'un environnement informatique sûr et sécurisé.
Les sources de cet article sont disponibles sur Ubuntu Security Notices.