Django
Dezvoltatorii din spatele proiectului Django au lansat două noi versiuni ale cadrului web Python: Django 1.11.15 și Django 2.0.8 în urma raportului de Andreas Hug despre o vulnerabilitate de redirecționare deschisă în CommonMiddleware. Eticheta a fost alocată vulnerabilității CVE-2018-14574 iar actualizările lansate rezolvă cu succes vulnerabilitatea prezentă în versiunile mai vechi ale Django.
Django este un cadru web Python Open Source complex, conceput pentru dezvoltatorii de aplicații. Este conceput special pentru a răspunde nevoilor dezvoltatorilor de web care oferă tot cadrul fundamental, astfel încât să nu fie nevoie să rescrie elementele de bază. Acest lucru permite dezvoltatorilor să se concentreze exclusiv pe dezvoltarea codului propriei aplicații. Cadrul este gratuit și deschis la utilizare. Este, de asemenea, flexibil pentru a răspunde nevoilor individuale și încorporează definiții și corecții ferme de securitate pentru a ajuta dezvoltatorii să se ferească de defectele de securitate din programele lor.
După cum a raportat Hug, vulnerabilitatea este exploatată atunci când setările „django.middleware.common.CommonMiddleware” și „APPEND_SLASH” sunt funcționale și rulează simultan. Întrucât majoritatea sistemelor de gestionare a conținutului urmează un model în care acceptă orice script URL care se termină cu o bară, atunci când se accesează o astfel de adresă URL rău intenționată (care se termină și cu o bară), aceasta ar putea reprezenta o redirecționare de la site-ul accesat către un alt site rău intenționat. prin care un atacator la distanță ar putea efectua atacuri de phishing și escrocherie asupra utilizatorului nebănuit.
Această vulnerabilitate afectează ramura principală Django, Django 2.1, Django 2.0 și Django 1.11. Deoarece Django 1.10 și mai vechi nu mai sunt acceptate, dezvoltatorii nu au lansat o actualizare pentru acele versiuni. Actualizările generice sănătoase sunt recomandate utilizatorilor care încă folosesc astfel de versiuni vechi. Actualizările lansate recent rezolvă vulnerabilitatea în Django 2.0 și Django 1.11, cu o actualizare pentru Django 2.1 încă în așteptare.
Patch-uri pentru 1.11 , 2.0 , 2.1 , și maestru au fost emise sucursale de lansare pe lângă toate versiunile din Versiunea Django 1.11.15 ( Descarca | sumele de control ) și Versiunea Django 2.0.8 ( Descarca | sumele de control ). Utilizatorii sunt sfătuiți să fie corecți sistemele lor, să își actualizeze sistemele la versiunile respective sau să efectueze o actualizare completă a sistemului la cele mai recente definiții de securitate. Aceste actualizări sunt disponibile și prin intermediul consultativ publicat pe site-ul Django Project.
