Django security updates
Разработчики Django выпустили исправление безопасности для своего фреймворка.
Суть проблемы заключалась в следующем: в состав Django входит легкий WSGI-сервер, предназначенный для изучения фреймворка и использования в «девелопмент» окружении. Для удобства разработчика, этот веб-сервер автоматически настраивается для обработки URL-адресов статических файлов проекта. Однако проверка URL таких файлов производится не совсем корректно, что позволяет, используя специально сформированный URL получить доступ к любому файлу, к которому сервер имеет доступ на чтение.
Изменения затронули версии 0.96.X и 1.0.X, а так же версию разработчиков в trunk.
p.s. все еще ищется «питонщик» и «джангист» :-)
Суть проблемы заключалась в следующем: в состав Django входит легкий WSGI-сервер, предназначенный для изучения фреймворка и использования в «девелопмент» окружении. Для удобства разработчика, этот веб-сервер автоматически настраивается для обработки URL-адресов статических файлов проекта. Однако проверка URL таких файлов производится не совсем корректно, что позволяет, используя специально сформированный URL получить доступ к любому файлу, к которому сервер имеет доступ на чтение.
Изменения затронули версии 0.96.X и 1.0.X, а так же версию разработчиков в trunk.
p.s. все еще ищется «питонщик» и «джангист» :-)
Комментарии (2)
RSS свернуть / развернутьPixoiD
xoma
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.