Django security update: Django 1.4.7, Django 1.5.3, and Django 1.6 beta 3 gereleased

Het Django team heeft nieuwe releases beschikbaar gesteld waarin een security probleem wordt verholpen.

Het probleem betreft incomplete checks op het pad dat meegegeven wordt aan een {% ssi %} include. Hierdoor is het mogelijk bestanden te includen die niet beperkt zijn tot de paden die in ALLOWED_INCLUDE_ROOTS gedefinieerd zijn.

Dit vereist wel dat een aanvaller templates kan aanpassen, of dat de ssi tag gebruikt wordt met ongefilterde gebruikersinput (e.g. {% ssi request.GET.template %}).

Aangezien beide scenario's erg onwaarschijnlijk zijn schatten wij het risico van dit security probleem laag in.

 

Uiteraard kunt u altijd contact met ons opnemen voor een uitgebreide security audit van uw (Django) project!

Last updated 12 september 2013 14:49 | django release security

Geen reakties

Post a comment:

captcha