Debians sikkerhedsbulletin

DSA-2755-1 python-django -- mappegennemløb

Rapporteret den:
11. sep 2013
Berørte pakker:
python-django
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2013-4315.
Yderligere oplysninger:

Rainer Koirikivi opdagede en mappegennemløbssårbarhed i forbindelse med ssi-skabelontags i python-django, et højniveauwebudviklingsframework til Python.

Det blev bevist, at håndtering af indstillingen ALLOWED_INCLUDE_ROOTS, som benyttes til at repræsentere tilladte præfiks til skabelontag'et {% ssi %}, var sårbart over for et mappegennemløbsangreb, ved at angive en filsti, der begynder som den absolutte sti til en mappe i ALLOWED_INCLUDE_ROOTS, og dernæst anvender relative stier til at bryde ud.

For at udnytte sårbarheden, skulle angriberen have mulighed for at ændre skabeloner på webstedet, eller det angrebne websted skulle have en eller flere skabeloner, der anvender ssi-tag'et, samt skulle tillade en eller anden form for brugerinddata, som ikke er fornuftighedskontrolleret, der anvendes som et parameter til ssi-tag'et.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 1.2.3-3+squeeze7.

I den stabile distribution (wheezy), er dette problem rettet i version 1.4.5-1+deb7u3.

I den ustabile distribution (sid), vil dette problem snart blive rettet.

Vi anbefaler at du opgraderer dine python-django-pakker.