Bulletin d'alerte Debian

DSA-2755-1 python-django -- Traversée de répertoires

Date du rapport :
11 septembre 2013
Paquets concernés :
python-django
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-4315.
Plus de précisions :

Rainer Koirikivi a découvert une vulnérabilité de traversée de répertoires avec des étiquettes de template ssi dans python-django, un environnement de développement web de haut niveau en Python.

Le traitement du réglage ALLOWED_INCLUDE_ROOTS, utilisé pour représenter les préfixes autorisés pour l'étiquette de template {% ssi %}, est vulnérable à une attaque de traversée de répertoires, en indiquant un chemin de fichier commençant comme le chemin absolu d'un répertoire de ALLOWED_INCLUDE_ROOTS et en utilisant les chemins relatifs pour se libérer.

Pour exploiter cette vulnérabilité, un attaquant doit avoir la capacité d'altérer les templates sur le site, ou bien le site attaqué doit avoir au moins un template utilisant l'étiquette ssi et autoriser l'utilisation d’un certain type d’entrée utilisateur non nettoyée en tant qu'argument de l'étiquette ssi.

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 1.2.3-3+squeeze7.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.4.5-1+deb7u3.

Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets python-django.