Politique de sécurité de Django¶
L’équipe de développement de Django s’engage fortement au signalement et à la publication des failles de sécurité. De ce fait, un ensemble de règles a été adopté afin de se conformer à cet objectif. Celles-ci sont destinées à permettre de produire des mises à jour de sécurité de la distribution officielle de Django en temps voulu et d’en informer les distributeurs tiers.
Signalement des problèmes de sécurité¶
Version courte : veuillez signaler les problèmes de sécurité en écrivant à security@djangoproject.com.
La majorité des bogues normaux de Django sont signalés au travers de notre instance Trac publique, mais en raison de la nature sensible des problèmes de sécurité, nous demandons instamment de ne pas signaler ce genre de problèmes de manière publique.
Au lieu de cela, si vous pensez avoir découvert un problème dans Django qui pourrait avoir des implications en terme de sécurité, nous vous prions d’envoyer une description du problème par courriel à security@djangoproject.com. Les messages envoyés à cette adresse sont destinés à l’équipe de sécurité.
Once you’ve submitted an issue via email, you should receive an acknowledgment from a member of the security team within 3 working days. After that, the security team will begin their analysis. Depending on the action to be taken, you may receive followup emails. It can take several weeks before the security team comes to a conclusion. There is no need to chase the security team unless you discover new, relevant information. All reports aim to be resolved within the industry-standard 90 days. Confirmed vulnerabilities with a high severity level will be addressed promptly.
Envoi de signalements chiffrés
Si vous souhaitez envoyer un message chiffré (facultatif), l’identifiant de clé publique de l’adresse security@djangoproject.com est 0xfcb84b8d1d17f80b. Cette clé publique est disponible sur la plupart des serveurs de clés fréquemment utilisés.
Lignes directrices pour le signalement¶
Inclusion d’une preuve de concept fonctionnelle¶
Veuillez partager en privé un projet Django minimal ou un extrait de code qui démontre la vulnérabilité potentielle. Ajoutez-y des instructions claires sur la manière de préparer, exécuter et reproduire le problème.
Veuillez ne pas joindre de captures d’écran de code.
Les saisies des utilisateurs doivent être nettoyées¶
Reports based on a failure to sanitize user input are not valid security vulnerabilities. It is the developer’s responsibility to properly handle user input. This principle is explained in our security documentation.
For example, the following is not considered valid because email has
not been sanitized:
from django.core.mail import send_mail
from django.http import JsonResponse
def my_proof_of_concept(request):
email = request.GET.get("email", "")
send_mail("Email subject", "Email body", email, ["admin@example.com"])
return JsonResponse(status=200)
Developers must always validate and sanitize input before using it. The
correct approach would be to use a Django form to ensure email is properly
validated:
from django import forms
from django.core.mail import send_mail
from django.http import JsonResponse
class EmailForm(forms.Form):
email = forms.EmailField()
def my_proof_of_concept(request):
form = EmailForm(request.GET)
if form.is_valid():
send_mail(
"Email subject",
"Email body",
form.cleaned_data["email"],
["admin@example.com"],
)
return JsonResponse(status=200)
return JsonResponse(form.errors, status=400)
Similarly, as Django’s raw SQL constructs (such as extra() and
RawSQL expression) provide developers with full control over the
query, they are insecure if user input is not properly handled. As explained in
our security documentation, it is the
developer’s responsibility to safely process user input for these functions.
For instance, the following is not considered valid because query has
not been sanitized:
from django.shortcuts import HttpResponse
from .models import MyModel
def my_proof_of_concept(request):
query = request.GET.get("query", "")
q = MyModel.objects.extra(select={"id": query})
return HttpResponse(q.values())
Request headers and URLs must be under 8K bytes¶
To prevent denial-of-service (DoS) attacks, production-grade servers impose limits on request header and URL sizes. For example, by default Gunicorn allows up to roughly:
Other web servers, such as Nginx and Apache, have similar restrictions to prevent excessive resource consumption.
Consequently, the Django security team will not consider reports that rely on request headers or URLs exceeding 8K bytes, as such inputs are already mitigated at the server level in production environments.
runserver should never be used in production
Django’s built-in development server does not enforce these limits because it is not designed to be a production server.
The request body must be under 2.5 MB¶
The DATA_UPLOAD_MAX_MEMORY_SIZE setting limits the default maximum
request body size to 2.5 MB.
As this is enforced on all production-grade Django projects by default, a proof of concept must not exceed 2.5 MB in the request body to be considered valid.
Issues resulting from large, but potentially reasonable setting values, should be reported using the public ticket tracker for hardening.
Code under test must feasibly exist in a Django project¶
The proof of concept must plausibly occur in a production-grade Django application, reflecting real-world scenarios and following standard development practices.
Django contains many private and undocumented functions that are not part of its public API. If a vulnerability depends on directly calling these internal functions in an unsafe way, it will not be considered a valid security issue.
Content displayed by the Django Template Language must be under 100 KB¶
The Django Template Language (DTL) is designed for building the content needed to display web pages. In particular its text filters are meant for that kind of usage.
For reference, the complete works of Shakespeare have about 3.5 million bytes in plain-text ASCII encoding. Displaying such in a single request is beyond the scope of almost all websites, and so outside the scope of the DTL too.
Text processing is expensive. Django makes no guarantee that DTL text filters are never subject to degraded performance if passed deliberately crafted, sufficiently large inputs. Under default configurations, Django makes it difficult for sites to accidentally accept such payloads from untrusted sources, but, if it is necessary to display large amounts of user-provided content, it’s important that basic security measures are taken.
User-provided content should always be constrained to known maximum length. It should be filtered to remove malicious content, and validated to match expected formats. It should then be processed offline, if necessary, before being displayed.
Proof of concepts which use over 100 KB of data to be processed by the DTL will be considered invalid.
Comment Django évalue un signalement¶
Voici les critères utilisés par l’équipe de sécurité lorsqu’elle évalue si un signalement nécessite une mise à jour de sécurité :
La vulnérabilité est présente dans une version prise en charge de Django.
La vulnérabilité ne dépend pas d’actions manuelles qui se basent sur du code externe à Django. Cela comprend les actions effectuées par un développeur ou mainteneur de projet utilisant des outils de développement ou l’interface de commande de Django. Par exemple, les attaques qui nécessitent le lancement de commandes d’administration avec des options non standard ou non sécurisées ne sont pas considérées.
La vulnérabilité se manifeste dans une application Django en contexte de production. Cela signifie que les scénarios suivants ne nécessitent pas de mise à jour de sécurité :
Vulnérabilités qui n’affectent que le développement local, par exemple lors de l’exécution de
runserver.Vulnérabilités qui impliquent une absence de respect des bonnes pratiques, comme par exemple l’absence de nettoyage des contenus en provenance d’utilisateurs. D’autres exemples figurent dans notre documentation sur la sécurité.
Vulnérabilités dans du code généré par IA et qui n’adhèrent pas à nos bonne pratiques de sécurité.
L’équipe de sécurité pourrait conclure que la source de la vulnérabilité se situe dans le code de la bibliothèque Python standard, et à ce titre, on demandera au rapporteur de signaler la vulnérabilité à l’équipe principale de Python. Pour plus de détails, consultez les lignes de conduite de sécurité Python.
À l’occasion, une correction de sécurité peut être publiée pour aider à résoudre une vulnérabilité dans un paquet tiers populaire. Ces signalements doivent provenir des mainteneurs des paquets concernés.
Si vous n’êtes pas certain·e que votre découverte répond bien à ces critères, veuillez tout de même la signaler en écrivant de manière privée à security@djangoproject.com. L’équipe de sécurité va évaluer votre signalement et vous recommander une bonne manière de procéder.
Versions prises en charge¶
À tout moment, l’équipe Django fournit une prise en charge de sécurité officielle pour plusieurs versions de Django :
La branche de développement main, hébergée sur GitHub, en passe de devenir la version majeure suivante de Django, est prise en charge au niveau sécurité. Les problèmes de sécurité qui ne touchent que cette branche
mainà l’exclusion de toute autre version stable publiée sont résolus de manière publique sans passer par le processus de divulgation.Les deux versions publiées de Django les plus récentes sont prises en charge au niveau sécurité. Par exemple, durant le cycle de développement amenant à la publication de Django 1.5, Django 1.4 et Django 1.3 sont pris en charge. Au moment de la publication de Django 1.5, la prise en charge de sécurité de Django 1.3 se termine.
Les publications avec prise en charge à long terme sont prises en charge au niveau sécurité pour une période définie.
Lorsque de nouvelles versions sont publiées pour des raisons de sécurité, la note qui l’accompagne inclut une liste des versions concernées. Cette liste ne contient que les versions prises en charge de Django : les versions plus anciennes peuvent aussi être affectées, mais nous ne faisons pas de recherches pour le déterminer et nous n’offrons pas de correctifs ou de nouvelles publications pour ces versions.
Niveaux de gravité des problèmes de sécurités¶
Le niveau de sécurité d’une vulnérabilité de sécurité est déterminée par le type d’attaque.
Les niveaux de gravité sont :
Elevé
Exécution de code à distance
Injection SQL
Modéré
Vulnérabilité XSS (cross site scripting)
Vulnérabilité CSRF (cross site request forgery)
Attaques par déni de service
Échec d’authentification
Faible
Exposition de données sensibles
Gestion des sessions endommagée
Redirections et transferts non validés
Problèmes dus à une option de configuration peu courante
Comment Django annonce les failles de sécurité¶
Notre processus d’annonce d’une faille de sécurité à partir d’une discussion privée jusqu’à son annonce publique se déroule en plusieurs étapes.
Environ une semaine avant l’annonce publique, nous envoyons deux notifications :
Tout d’abord, nous avertissons sur django-announce de la date et de l’heure approximatives de la publication de sécurité à venir, ainsi que de la gravité des problèmes. Ceci permet d’aider les organisations qui doivent s’assurer de disposer de personnel disponible pour s’occuper de l’analyse de l’annonce et de la mise à jour de Django, le cas échéant.
Ensuite, nous avertissons une liste de personnes et organisations, principalement composée de fournisseurs de systèmes d’exploitation et d’autres distributeurs de Django. Ce courriel est signé avec la clé PGP d’une personne de l”équipe de publication de Django et consiste en :
Une description complète du problème et les versions concernées de Django.
Les étapes que nous suivrons pour remédier au problème.
Les correctifs, le cas échéant, qui seront appliqués à Django.
La date à laquelle l’équipe Django appliquera ces correctifs, produira les nouvelles versions et annoncera publiquement le problème.
Le jour de l’annonce publique, voici les mesures qui seront appliquées :
Les correctifs adéquats seront appliqués au code de Django.
La ou les publications adéquates seront produites en plaçant les nouveaux paquets sur le Répertoire des paquets Python et sur le site web djangoproject.com; ces publications sont étiquetées (tag) dans le dépôt git de Django.
Un article sera publié sur le blog officiel du développement de Django, décrivant le problème et sa résolution en détails, désignant les correctifs et nouvelles publications appropriés. La personne ayant signalé le problème sera citée si elle le souhaite.
Une notification sera envoyée aux listes de diffusion django-announce et oss-security@lists.openwall.com en mentionnant le lien vers l’article de blog.
Si un problème signalé est jugé particulièrement urgent, par exemple en raison d’une exploitation publiquement connue, l’intervalle entre la notification précoce et l’annonce publique peut être considérablement raccourci.
De plus, si nous avons des raisons de penser que le problème signalé affecte d’autres cadriciels ou outils dans l’écosystème Python/web, il est possible que nous en discutions en privé avec les mainteneurs concernés et que l’annonce et la résolution soient coordonnées avec les leurs.
L’équipe Django maintient aussi une archive des problèmes de sécurité découverts dans Django.
Destinataires des notifications anticipées¶
La liste complète des personnes et organisations qui reçoivent les notifications anticipées des failles de sécurité n’est pas publique.
Nous essayons également de conserver cette liste aussi petite que possible, afin de pouvoir mieux contrôler le flux des informations confidentielles avant une divulgation. Ainsi, cette liste de notification n’est pas simplement une liste d’utilisateurs de Django et il ne suffit pas d’utiliser Django pour être éligible à figurer sur cette liste.
De manière générale, les destinataires des notifications de sécurité anticipées sont divisés en trois groupes :
Fournisseurs de systèmes d’exploitation et d’autres distributeurs de Django qui mettent à disposition une adresse suffisamment générique (pas d’adresse électronique personnelle) de contact pour le signalement de problèmes avec leur paquet Django ou pour des signalements de sécurité généraux. Dans tous les cas, ces adresses ne doivent pas être propagées vers des listes de diffusion publiques ou des systèmes de suivi de bogues. Les adresses qui redirigent vers l’adresse privée d’un mainteneur individuel ou d’un contact lié à la sécurité sont acceptables, même si nous préférons de loin des systèmes de suivi privés ou des groupes de contact de sécurité.
Au cas par cas, des mainteneurs de paquet individuels qui ont prouvé leur engagement à agir et répondre de manière responsable à ces notifications.
Au cas par cas, d’autres entités qui selon le jugement de l’équipe de développement de Django ont besoin d’être mis au courant des problèems de sécurité en cours. Typiquement, les membres de ce groupe sont parmi les utilisateurs ou distributeurs connus de Django qui gèrent de nombreux clients où pour lesquels l’impact de failles de sécurité est très important. On attendra d’eux qu’ils démontrent leur capacité à recevoir, à conserver confidentiel et à agir de manière responsable à ces notifications.
Entités d’audits de sécurité et d’analyses
Il n’est pas dans notre politique d’ajouter ces types d’entités à la liste de notifications.
Demande de notification¶
Si vous pensez que vous ou une organisation que vous êtes autorisé à représenter entre dans l’un des groupes décrits ci-dessus, vous pouvez demander à être ajouté à la liste de notification de Django en écrivant (en anglais) à security@djangoproject.com. Comme sujet du message, veuillez utiliser « Security notification request ».
Votre demande doit inclure les informations suivantes :
Votre nom réel complet ainsi que le nom de l’organisation que vous représentez, le cas échéant, de même que votre rôle dans celle-ci.
Une explication détaillée présentant les raisons vous poussant à penser que vous ou votre organisation entrez dans un moins un des ensembles de critères énumérés plus haut.
Une explication détaillée de la raison vous incitant à demander à recevoir les notifications de sécurité. Encore une fois, gardez en tête qu’il ne s’agit pas simplement d’une liste des utilisateurs de Django et que la très grande majorité des utilisateurs devraient s’inscrire à la liste django-announce pour recevoir des annonces par avance des dates de publication de sécurité, sans le détail des problèmes résolus, plutôt que de demander à recevoir les notifications détaillées.
L’adresse électronique que vous proposez pour la réception des messages de notification.
Une explication sur les personnes qui vont recevoir les messages envoyés à cette adresse, ainsi que des informations au sujet d’éventuelles actions automatiques qui seront entreprises (par ex. le remplissage d’un ticket confidentiel sur un système de suivi de bogues).
Pour les personnes, l’identifiant d’une clé publique associée à l’adresse pouvant être utilisée pour vérifier les messages reçus de ces personnes et au besoin pour chiffrer les messages envoyés.
Une fois envoyée, votre demande sera prise en compte par l’équipe de développement de Django ; vous recevrez dans les 30 jours une réponse vous informant du statut de votre demande.
Veuillez également garder à l’esprit que pour tout individu ou organisation, la réception des notifications de sécurité est un privilège accordé à la seule discrétion de l’équipe de développement de Django et que ce privilège peut être retiré en tout temps, avec ou sans justification.
Fournissez toutes les informations requises
Tout manquement aux informations requises à fournir lors de votre contact initial jouera contre vous lors de la décision d’approuver ou non votre requête.
