漏洞信息详情
Django URL请求信息泄露漏洞
- CNNVD编号:CNNVD-200908-025
- 危害等级: 低危
- CVE编号: CVE-2009-2659
- 漏洞类型: 路径遍历
- 发布时间: 2009-07-29
- 威胁类型: 远程
- 更新时间: 2009-08-12
- 厂 商: django_project
- 漏洞来源: Chris Lamb※ lamby@...
漏洞简介
Django是Django软件基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。
Django内嵌了一个轻量级的基于WSGI的Web Server用于学习Django以及在开发的早期阶段测试新应用。出于便利性考虑,这个Web Server自动映射某些Django管理应用所使用的静态媒体文件相关的URL。映射这些URL的处理器没有正确地检查用户所请求的URL以确认其与Django所使用的静态媒体文件相关,因此特制的URL可能导致开发服务器提供任意可以读访问的文件。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.djangoproject.com/download/0.96.4/tarball
http://www.djangoproject.com/download/1.0.3/tarball
参考网址
来源:www.djangoproject.com
链接:http://www.djangoproject.com/weblog/2009/jul/28/security/
来源: FEDORA
名称: FEDORA-2009-8177
链接:https://www.redhat.com/archives/fedora-package-announce/2009-August/msg00069.HTML
来源: FEDORA
名称: FEDORA-2009-8169
链接:https://www.redhat.com/archives/fedora-package-announce/2009-August/msg00055.HTML
来源: BID
名称: 35859
链接:http://www.securityfocus.com/bid/35859
来源: MLIST
名称: [oss-security] 20090729 CVE Request (django)
链接:http://www.openwall.com/lists/oss-security/2009/07/29/2
来源: SECUNIA
名称: 36153
链接:http://secunia.com/advisories/36153
来源: SECUNIA
名称: 36137
链接:http://secunia.com/advisories/36137
来源: code.djangoproject.com
链接:http://code.djangoproject.com/changeset/11353
来源: bugs.debian.org
链接:http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=539134
受影响实体
- Django_project Django:0.96
- Django_project Django:1.0
补丁
暂无
评论