Bonjour, On 15/09/2013 10:03, jean-pierre giraud wrote: > une suggestion
Intégrée, merci Jean-Pierre. Amicalement, Thomas
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Traversée de répertoires</define-tag> <define-tag moreinfo> <p>Rainer Koirikivi a découvert une vulnérabilité de traversée de répertoires avec des étiquettes de template <q>ssi</q> dans python-django, un environnement de développement web de haut niveau en Python.</p> <p>Le traitement du réglage <q>ALLOWED_INCLUDE_ROOTS</q>, utilisé pour représenter les préfixes autorisés pour l'étiquette de template {% ssi %}, est vulnérable à une attaque de traversée de répertoires, en indiquant un chemin de fichier commençant comme le chemin absolu d'un répertoire de <q>ALLOWED_INCLUDE_ROOTS</q> et en utilisant les chemins relatifs pour se libérer.</p> <p>Pour exploiter cette vulnérabilité, un attaquant doit avoir la capacité d'altérer les templates sur le site, ou bien le site attaqué doit avoir au moins un template utilisant l'étiquette <q>ssi</q> et autoriser l'utilisation dâun certain type dâentrée utilisateur non nettoyée en tant qu'argument de l'étiquette <q>ssi</q>.</p> <p>Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 1.2.3-3+squeeze7.</p> <p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.4.5-1+deb7u3.</p> <p>Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets python-django.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2755.data" # $Id: dsa-2755.wml,v 1.3 2013/09/15 10:51:12 tvincent-guest Exp $
signature.asc
Description: OpenPGP digital signature