Django
Razvijalci projekta Django so po poročanju Andreasa Huga o odprti preusmeritveni ranljivosti v CommonMiddleware izdali dve novi različici spletnega ogrodja Python: Django 1.11.15 in Django 2.0.8. Oznaka je bila dodeljena ranljivosti CVE-2018-14574 in izdane posodobitve so uspešno rešile ranljivost, ki je prisotna v starejših različicah Djanga.
Django je zapleten odprti vir Python Web framework, ki je zasnovan za razvijalce aplikacij. Zasnovan je posebej za potrebe spletnih razvijalcev, ki zagotavljajo vse temeljne okvire, tako da jim ni treba prepisovati osnov. To omogoča razvijalcem, da se osredotočijo izključno na razvoj kode lastne aplikacije. Okvir je brezplačen in odprt za uporabo. Prilagodljiv je tudi za potrebe posameznikov in vključuje trdne varnostne opredelitve in popravke, da razvijalcem pomaga, da se v svojih programih izognejo varnostnim pomanjkljivostim.
Kot poroča Hug, se ranljivost izkorišča, ko se hkrati zaženeta in zaženeta nastavitvi »django.middleware.common.CommonMiddleware« in »APPEND_SLASH«. Ker večina sistemov za upravljanje vsebine sledi vzorcu, v katerem sprejme kateri koli skript URL, ki se konča s poševnico, lahko ob dostopu do takega zlonamernega URL-ja (ki se prav tako konča s poševnico) povzroči preusmeritev s spletnega mesta, do katerega dostopate, na drugo zlonamerno spletno mesto. prek katerega bi lahko oddaljeni napadalec izvedel napade z lažnim predstavljanjem in prevaro na nič hudega slutečega uporabnika.
Ta ranljivost vpliva na glavno vejo Django, Django 2.1, Django 2.0 in Django 1.11. Ker Django 1.10 in starejši niso več podprti, razvijalci niso izdali posodobitve za te različice. Uporabnikom, ki še vedno uporabljajo takšne stare različice, priporočamo splošne zdrave nadgradnje. Pravkar izdane posodobitve odpravljajo ranljivost v Django 2.0 in Django 1.11, posodobitev za Django 2.1 pa še čaka.
Obliži za 1.11 , 2.0 , 2.1 , in mojster izdaje podružnic so bile izdane poleg celotnih izdaj v Različica Django 1.11.15 ( Prenesi | kontrolne vsote ) in Različica Django 2.0.8 ( Prenesi | kontrolne vsote ). Uporabnikom svetujemo, naj popravijo svoje sisteme, jih nadgradijo na ustrezne različice ali izvedejo celotno nadgradnjo sistema na najnovejše varnostne definicije. Te posodobitve so na voljo tudi prek svetovalni objavljeno na spletni strani projekta Django.
