Примечания к выпуску Django 1.4.7

10 сентября 2013

Django 1.4.7 исправляет одну проблему безопасности, присутствовавшую в предыдущих выпусках Django серии 1.4.

Уязвимость обхода каталога в теге шаблона ssi

В предыдущих версиях Django можно было обойти настройку ALLOWED_INCLUDE_ROOTS, используемую для безопасности с тегом шаблона ssi, указав относительный путь, начинающийся с одного из разрешенных корней. Например, если ALLOWED_INCLUDE_ROOTS = ("/var/www",), то можно было бы сделать следующее:

{% ssi "/var/www/../../etc/passwd" %}

На практике это не очень распространенная проблема, поскольку это потребовало бы от автора шаблона поместить файл ssi в переменную, контролируемую пользователем, но в принципе это возможно.

Вернуться на верх