ASA-2019-00402 – Django: Detecção HTTP incorreta com proxy reverso conectando via HTTPS

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00402

Identificador(es)

ASA-2019-00402, CVE-2019-12781

Título

Detecção HTTP incorreta com proxy reverso conectando via HTTPS

Fabricante(s)

Django Software Foundation

Produto(s)

Django

Versão(ões) afetada(s)

Django branch de desenvolvimento master
Django 2.2.x anterior a versão 2.2.3
Django 2.1.x anterior a versão 2.1.10
Django 1.11.x anterior a versão 1.11.22

Versão(ões) corrigida(s)

Django versão 2.2.3
Django versão 2.1.10
Django versão 1.11.22

Prova de conceito

Desconhecido

Descrição

Quando implantado por trás de um proxy reverso conectando-se ao Django via HTTPS, o django.http.HttpRequest.scheme detectaria incorretamente solicitações de clientes feitas via HTTP como usando HTTPS. Isso envolve resultados incorretos para is_secure() e build_absolute_uri() e que as solicitações HTTP não serão redirecionadas para HTTPS de acordo com SECURE_SSL_REDIRECT.

Detalhes técnicos

Desconhecido

Créditos

Gavin Wahl

Referência(s)

Django security releases issued: 2.2.3, 2.1.10 and 1.11.22
https://www.djangoproject.com/weblog/2019/jul/01/security-releases/

Fixed CVE-2019-12781 — Made HttpRequest always trust SECURE_PROXY_SSL_HEADER if set.
https://github.com/django/django/commit/54d0f5e62f54c29a12dd96f44bacd810cbe03ac8

[2.2.x] Fixed CVE-2019-12781 — Made HttpRequest always trust SECURE_PROXY_SSL_HEADER if set.
https://github.com/django/django/commit/77706a3e4766da5d5fb75c4db22a0a59a28e6cd6

[2.1.x] Fixed CVE-2019-12781 — Made HttpRequest always trust SECURE_PROXY_SSL_HEADER if set.
https://github.com/django/django/commit/1e40f427bb8d0fb37cc9f830096a97c36c97af6f

[1.11.x] Fixed CVE-2019-12781 — Made HttpRequest always trust SECURE_PROXY_SSL_HEADER if set.
https://github.com/django/django/commit/32124fc41e75074141b05f10fc55a4f01ff7f050

CVE-2019-12781
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12781

CVE-2019-12781
https://nvd.nist.gov/vuln/detail/CVE-2019-12781

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 4 julho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.