发布日期：2009-07-29
更新日期：2009-08-07

受影响系统：

Django Django 1.0
Django Django 0.96

不受影响系统：

Django Django 1.0.3
Django Django 0.96.4

描述：

---

BUGTRAQ  ID: 35859
CVE(CAN) ID: CVE-2009-2659

Django是Python编程语言驱动的一个开源Web应用程序框架。

Django内嵌了一个轻量级的基于WSGI的Web Server用于学习Django以及在开发的早期阶段测试新应用。出于便利性考虑，这个Web Server自动映射某些Django管理应用所使用的静态媒体文件相关的URL。映射这些URL的处理器没有正确地检查用户所请求的URL以确认其与Django所使用的静态媒体文件相关，因此特制的URL可能导致开发服务器提供任意可以读访问的文件。

<*来源：Chris Lamb （lamby@debian.org）
  
  链接：http://secunia.com/advisories/36137/
        http://bugs.debian.org/cgi-bin/bugreport.cgi?msg=5;att=0;bug=539134
        http://www.djangoproject.com/weblog/2009/jul/28/security/
*>

建议：

---

厂商补丁：

Django
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.djangoproject.com/download/0.96.4/tarball/
http://www.djangoproject.com/download/1.0.3/tarball/

浏览次数：2272
严重程度：0（网友投票）