Catatan terbitan Django 1.4.7

September 10, 2013

Django 1.4.7 memperbaiki dua masalah keamanan yang hadir di terbitan Django sebelumnya di rangkaian 1.4.

Kerentanan lintasan direktori dalam etiket cetakan ssi

Dalam versi sebelumnya Django itu telah memungkinkan melewatkan pengaturan ALLOWED_INCLUDE_ROOTS digunakan untuk keamanan dengan etiket cetakan ssi dengan menentukan jalur relatif yang dimulai dengan satu dari akar yang diizinkan. Sebagai contoh, jika ALLOWED_INCLUDE_ROOTS = ("/var/www",) berikutnya akan mungkin:

{% ssi "/var/www/../../etc/passwd" %}

Dalam praktiknya ini bukan sangat masalah umum, ketika itu akan membutuhkan cetakan penulis untuk menaruh berkas ssi di variabel terkendali-pengguna, tetapi itu memungkinkan pada dasarnya.

Back to Top