written by Igor Kamgue10/05/2023 Attaques du type RFD (Reflected File Download) sur les versions 4.1,4.0 et 3.2 de DJANGO
En accord avec leur politique de sécurité, l’équipe de django a publié Django 4.0.7 et Django 3.2.15, dans ces versions ils ont amélioré la sécurité de Django qui était vulnérable au attaques de type RFD, ci-dessous nous avons un peu plus de détail sur la faille et les résolutions prises.
Publication des versions de sécurité de Django : 4.0.7 et 3.2.15
Posté par Carlton Gibson le 3 août 2022
Conformément à sa politique de sécurité, l’équipe Django publie Django 4.0.7 et Django 3.2.15. Ces versions corrigent le problème de sécurité décrit ci-dessous. Nous encourageons tous les utilisateurs de Django à effectuer la mise à jour dès que possible.
CVE-2022-36359 : vulnérabilité potentielle de téléchargement de fichiers réfléchis dans FileResponse
Une application peut être vulnérable à une attaque par téléchargement de fichier réfléchi (RFD) qui définit l’en-tête Content-Disposition d’une File Response lorsque le nom de fichier provient d’une entrée fournie par l’utilisateur. Le nom de fichier est désormais encodé pour éviter cette possibilité.
Ce problème est très grave, conformément à la politique de sécurité de Django.
Le rapport a été fait par Motoyasu Saburi.
Versions prises en charge affectées
Branche principale de Django
Django 4.1
Django 4.0
Django 3.2
Résolution
Des correctifs pour résoudre le problème ont été appliqués à la branche principale de Django et aux branches de publication 4.1, 4.0 et 3.2. Les correctifs peuvent être obtenus à partir des séries de modifications suivantes :
- Sur la branche principale
- Sur la branche de publication 4.1
- Sur la branche de la version 4.0
- Sur la branche de publication 3.2
Les versions suivantes ont été publiées :
- Django 4.0.7 (télécharger Django 4.0.7 | 4.0.7 checksums)
- Django 3.2.15 (télécharger Django 3.2.15 | 3.2.15 sommes de contrôle)
L’ID de la clé PGP utilisée pour cette version est Carlton Gibson : E17DF5C82B4F9D00