For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00402
Identificador(es)
ASA-2019-00402, CVE-2019-12781
Título
Detecção HTTP incorreta com proxy reverso conectando via HTTPS
Fabricante(s)
Django Software Foundation
Produto(s)
Django
Versão(ões) afetada(s)
Django branch de desenvolvimento master
Django 2.2.x anterior a versão 2.2.3
Django 2.1.x anterior a versão 2.1.10
Django 1.11.x anterior a versão 1.11.22
Versão(ões) corrigida(s)
Django versão 2.2.3
Django versão 2.1.10
Django versão 1.11.22
Prova de conceito
Desconhecido
Descrição
Quando implantado por trás de um proxy reverso conectando-se ao Django via HTTPS, o django.http.HttpRequest.scheme detectaria incorretamente solicitações de clientes feitas via HTTP como usando HTTPS. Isso envolve resultados incorretos para is_secure() e build_absolute_uri() e que as solicitações HTTP não serão redirecionadas para HTTPS de acordo com SECURE_SSL_REDIRECT.
Detalhes técnicos
Desconhecido
Créditos
Gavin Wahl
Referência(s)
Django security releases issued: 2.2.3, 2.1.10 and 1.11.22
https://www.djangoproject.com/weblog/2019/jul/01/security-releases/
Fixed CVE-2019-12781 — Made HttpRequest always trust SECURE_PROXY_SSL_HEADER if set.
https://github.com/django/django/commit/54d0f5e62f54c29a12dd96f44bacd810cbe03ac8
[2.2.x] Fixed CVE-2019-12781 — Made HttpRequest always trust SECURE_PROXY_SSL_HEADER if set.
https://github.com/django/django/commit/77706a3e4766da5d5fb75c4db22a0a59a28e6cd6
[2.1.x] Fixed CVE-2019-12781 — Made HttpRequest always trust SECURE_PROXY_SSL_HEADER if set.
https://github.com/django/django/commit/1e40f427bb8d0fb37cc9f830096a97c36c97af6f
[1.11.x] Fixed CVE-2019-12781 — Made HttpRequest always trust SECURE_PROXY_SSL_HEADER if set.
https://github.com/django/django/commit/32124fc41e75074141b05f10fc55a4f01ff7f050
CVE-2019-12781
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12781
CVE-2019-12781
https://nvd.nist.gov/vuln/detail/CVE-2019-12781
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 4 julho 2019