云安全日报210412：Debian Web应用程序发现目录遍历

python-django是一个功能强大开放源代码的重量级Web应用框架。4月9日,Debian发布了安全更新,修复了python-django中发现的目录遍历漏洞。以下是漏洞详情

漏洞详情

来源https://.debian./lts/security/2021/dla-2622

CVE-2021-28658 严重程度: 重要

目录遍历（路径遍历）是由于eb服务器或者eb应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞，使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制，访问任意的文件（可以使eb根目录以外的文件），甚至执行系统命令。

在2.2.20之前的Django 2.2、3.0.14之前的3.0和3.1.8之前的3.1中存在目录遍历漏洞，MultiPartParser允许通过具有适当格式的文件名的上载文件遍历目录。

受影响产品及版本

上述漏洞影响Debian9 Stretch 1.10.7-2 + deb9u12之前版本

解决方案

对于Debian 9 Stretch，此问题已在版本1.10.7-2 + deb9u12中修复,建议及时更新python-django软件包。

查看更多漏洞信息 以及升级请访问官网

https://.debian./lts/security/