1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
|
#use wml::debian::translation-check translation="bf745a3ef1eb7cd1daba8f1a6d005ff60eacbab0" mindelta="1"
<define-tag description>mappegennemløb</define-tag>
<define-tag moreinfo>
<p>Rainer Koirikivi opdagede en mappegennemløbssårbarhed i forbindelse med
<q>ssi</q>-skabelontags i python-django, et højniveauwebudviklingsframework
til Python.</p>
<p>Det blev bevist, at håndtering af indstillingen <q>ALLOWED_INCLUDE_ROOTS</q>,
som benyttes til at repræsentere tilladte præfiks til skabelontag'et {% ssi %},
var sårbart over for et mappegennemløbsangreb, ved at angive en filsti, der
begynder som den absolutte sti til en mappe i <q>ALLOWED_INCLUDE_ROOTS</q>, og
dernæst anvender relative stier til at bryde ud.</p>
<p>For at udnytte sårbarheden, skulle angriberen have mulighed for at ændre
skabeloner på webstedet, eller det angrebne websted skulle have en eller flere
skabeloner, der anvender <q>ssi</q>-tag'et, samt skulle tillade en eller anden
form for brugerinddata, som ikke er fornuftighedskontrolleret, der anvendes som
et parameter til <q>ssi</q>-tag'et.</p>
<p>I den gamle stabile distribution (squeeze), er dette problem rettet i
version 1.2.3-3+squeeze7.</p>
<p>I den stabile distribution (wheezy), er dette problem rettet i
version 1.4.5-1+deb7u3.</p>
<p>I den ustabile distribution (sid), vil dette problem snart blive rettet.</p>
<p>Vi anbefaler at du opgraderer dine python-django-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2755.data"
|
