云安全日报210412:Debian Web应用程序发现目录遍历漏洞,需要尽快升级

python-django是一个功能强大开放源代码的重量级Web应用框架。4月9日,Debian发布了安全更新,修复了

python-django是一个功能强大开放源代码的重量级Web应用框架。4月9日,Debian发布了安全更新,修复了python-django中发现的目录遍历漏洞。以下是漏洞详情:

漏洞详情

来源:https://www.debian.org/lts/security/2021/dla-2622

CVE-2021-28658 严重程度: 重要

目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。

在2.2.20之前的Django 2.2、3.0.14之前的3.0和3.1.8之前的3.1中存在目录遍历漏洞,MultiPartParser允许通过具有适当格式的文件名的上载文件遍历目录。

受影响产品及版本

上述漏洞影响Debian9 Stretch 1.10.7-2 + deb9u12之前版本

解决方案

对于Debian 9 Stretch,此问题已在版本1.10.7-2 + deb9u12中修复,建议及时更新python-django软件包。

查看更多漏洞信息 以及升级请访问官网:

https://www.debian.org/lts/security/

给TA打赏
共{{data.count}}人
人已打赏
云计算

工信部:2020年第四季度受理用户申诉29052件 同比下降41.6%

2021-4-12 16:06:14

云计算

中国信通院:3月5G手机出货量2749.8万部,占比提升至76.2%

2021-4-12 16:27:59

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索