Bonjour, On 15/09/2013 10:03, jean-pierre giraud wrote: > une suggestion Intégrée, merci Jean-Pierre. Amicalement, Thomas
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent"
<define-tag description>Traversée de répertoires</define-tag>
<define-tag moreinfo>
<p>Rainer Koirikivi a découvert une vulnérabilité de traversée de répertoires
avec des étiquettes de template <q>ssi</q> dans python-django, un environnement
de développement web de haut niveau en Python.</p>
<p>Le traitement du réglage <q>ALLOWED_INCLUDE_ROOTS</q>, utilisé pour
représenter les préfixes autorisés pour l'étiquette de template {% ssi %}, est
vulnérable à une attaque de traversée de répertoires, en indiquant un chemin de
fichier commençant comme le chemin absolu d'un répertoire de
<q>ALLOWED_INCLUDE_ROOTS</q> et en utilisant les chemins relatifs pour se libérer.</p>
<p>Pour exploiter cette vulnérabilité, un attaquant doit avoir la capacité
d'altérer les templates sur le site, ou bien le site attaqué doit avoir au
moins un template utilisant l'étiquette <q>ssi</q> et autoriser l'utilisation
dâ??un certain type dâ??entrée utilisateur non nettoyée en tant qu'argument de l'étiquette <q>ssi</q>.</p>
<p>Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 1.2.3-3+squeeze7.</p>
<p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.4.5-1+deb7u3.</p>
<p>Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.</p>
<p>Nous vous recommandons de mettre à jour vos paquets python-django.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2755.data"
# $Id: dsa-2755.wml,v 1.3 2013/09/15 10:51:12 tvincent-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature