Всем приложениям, которые используют класс для загрузки файлов (File Upload class) рекомендуется обновиться до последней версии или загрузить патч.

официальный сайт
скачать новую версию фреймворка
скачать патч

Разработчики Django выпустили исправление безопасности для своего фреймворка.
Суть проблемы заключалась в следующем: в состав Django входит легкий WSGI-сервер, предназначенный для изучения фреймворка и использования в «девелопмент» окружении. Для удобства разработчика, этот веб-сервер автоматически настраивается для обработки URL-адресов статических файлов проекта. Однако проверка URL таких файлов производится не совсем корректно, что позволяет, используя специально сформированный URL получить доступ к любому файлу, к которому сервер имеет доступ на чтение.
Изменения затронули версии 0.96.X и 1.0.X, а так же версию разработчиков в trunk.

p.s. все еще ищется «питонщик» и «джангист» :-)

Официальный сайт

Начну с небольшого отступления.

И все таки правильно говорят, а на некторых форумах (особенно UNIX-овых), прямо кричат — RTFM! Кто не понял очем идет речь — RTFM в переводе означает «читай эту чертову документацию!». Это все я собственно вот к чему: изучая и что-то пытаясь написать на фреймворке Yii, возникла задача фильтрации входных данных от различного рода «зловредных» символов (аля XSS-атака) и первое что пришло в голову — это написать свой фильтр (что я все таки и сделал), однако creocoder, на форуме Yii, совершенно спрпаведливо заметил, что не зачем изобретать велосипед, все уже есть готовое, необходимо только RTFM! Речь шла о классе CHtmlPurifier, который является оберткой для библиотеки HTML Purifier, и выполняет все те функции, которые мне необходимы (правда я так и не попробывал его в действии, может и зря конечно). Но раз уж я начал писать свой фильтр — решил все таки это дело завершить, да и просто написать статью о фильтрах в Yii.

И так!


( Читать дальше )