互联网爱好者创业的站长之家 – 南方站长网
您的位置:首页 >科技 >

云安全日报210412:Debian Web应用程序发现目录遍历漏洞,需要尽快升级

时间:2021-04-12 16:45:39 | 来源:TechWeb

原标题:云安全日报210412:Debian Web应用程序发现目录遍历漏洞,需要尽快升级

python-django是一个功能强大开放源代码的重量级Web应用框架。4月9日,Debian发布了安全更新,修复了python-django中发现的目录遍历漏洞。以下是漏洞详情:

漏洞详情

CVE-2021-28658 严重程度: 重要

目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。

在2.2.20之前的Django 2.2、3.0.14之前的3.0和3.1.8之前的3.1中存在目录遍历漏洞,MultiPartParser允许通过具有适当格式的文件名的上载文件遍历目录。

受影响产品及版本

上述漏洞影响Debian9 Stretch 1.10.7-2 + deb9u12之前版本

解决方案

对于Debian 9 Stretch,此问题已在版本1.10.7-2 + deb9u12中修复,建议及时更新python-django软件包。

查看更多漏洞信息 以及升级请访问官网:

https://www.debian.org/lts/security/

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。

猜你喜欢