16/12/2024

Unix

Actu Cybersécurité

Python Django de nouveau vulnérable

Rainer Koirikivi a découvert une vulnérabilité de traversée de répertoires via l’utilisation des étiquettes de template « ssi » dans python-django. Le 23 août dernier, une vulnérabilité avait déjà était découverte au sein de l’application. Le traitement du réglage « ALLOWED_INCLUDE_ROOTS » qui est utilisé pour représenter les préfixes autorisés pour l’étiquette de template {% ssi %} est vulnérable. Ceci en indiquant un chemin de fichiers commençant comme le chemin absolu d’un répertoire de « ALLOWED_INCLUDE_ROOTS » et en utilisant les chemins relatifs pour se libérer. Un attaquant qui souhaite exploiter cette vulnérabilité doit avoir la capacité d’altérer les templates sur le site, ou alors le site visé doit avoir au minimum un template utilisant l’étiquette « ssi ». Ce dernier doit aussi autoriser l’utilisation d’entrées utilisateur non nettoyées en tant qu’argument de l’étiquette « ssi ». Vous devez mettre à jour vos paquets python-django comme ceci : Debian Squeeze : corrigé dans la version 1.2.3-3+squeeze7. Debian Wheezy : corrigé dans la version 1.4.5-1+deb7u3. En ce qui concerne Debian Sid,

Lire cet article
Actu Cybersécurité

Bulletin d’alerte pour Python-django

Un cadriciel de développement web de haut niveau en python est victime d’une potentielle vulnérabilité de script inter-site, selon Nick Brunn. Pour être plus précis, la fonction utilitaire is_safe_url utilisée pour valider qu’une URL utilisée se trouve sur l’hôte courant pour éviter d’éventuelles redirections dangereuses à partir de requêtes contrefaites, fonctionnait comme prévu pour les URL HTTP et HTTPS, mais permettait les redirections d’autres schémas, comme javascript. La fonction is_safe_url a été modifiée pour reconnaître correctement et rejeter les URLs indiquant un autre schémas que HTTP ou HTTPS, pour prévenir les attaques par script intersite par la redirection d’autres schémas. Debian Squeeze : Problème corrigé dans la version 1.2.3-3+squeeze6. Debian Wheezy : Problème corrigé dans la version 1.4.5-1+deb7u1. Debian Jessie : Problème corrigé dans la version 1.5.2-1. Debian Sid : Problème corrigé dans la version 1.5.2-1. La communauté Debian recommande de mettre à jour vos paquets python-django.

Lire cet article