Django
Vývojári, ktorí stoja za projektom Django, vydali dve nové verzie webového rámca Python: Django 1.11.15 a Django 2.0.8 v nadväznosti na správu Andreasa Huga o otvorenej chybe presmerovania v CommonMiddleware. Zraniteľnosti bol pridelený štítok CVE-2018-14574 a vydané aktualizácie úspešne riešia zraniteľnosť prítomnú v starších verziách Django.
Django je zložitý opensource Python Web framework, ktorý je určený pre vývojárov aplikácií. Je postavený špeciálne na uspokojenie potrieb vývojárov webu, ktorí poskytujú všetok základný rámec, aby nemuseli prepisovať základné informácie. To umožňuje vývojárom sústrediť sa iba na vývoj kódu ich vlastnej aplikácie. Rámec je bezplatný a otvorený na použitie. Je tiež flexibilný, aby vyhovoval individuálnym potrebám, a obsahuje pevné bezpečnostné definície a opravy, ktoré vývojárom pomáhajú vyhnúť sa bezpečnostným chybám v ich programoch.
Ako uvádza Hug, táto chyba sa zneužíva, keď sú súčasne spustené nastavenia „django.middleware.common.CommonMiddleware“ a „APPEND_SLASH“. Pretože väčšina systémov na správu obsahu sa riadi vzorom, v ktorom akceptuje akýkoľvek skript adresy URL, ktorý končí lomkou, pri prístupe k takejto škodlivej adrese URL (ktorá tiež končí lomkou) by to mohlo predstavovať presmerovanie z prístupnej stránky na inú škodlivú stránku. prostredníctvom ktorého by vzdialený útočník mohol vykonávať phishingové a podvodné útoky na nič netušiaceho používateľa.
Táto chyba zabezpečenia ovplyvňuje hlavnú vetvu Django, Django 2.1, Django 2.0 a Django 1.11. Pretože Django 1.10 a staršie už nie sú podporované, vývojári pre tieto verzie nevydali aktualizáciu. Používateľom, ktorí stále používajú tieto staré verzie, sa odporúčajú všeobecné užitočné aktualizácie. Práve vydané aktualizácie riešia chybu zabezpečenia v Django 2.0 a Django 1.11, zatiaľ stále nie je k dispozícii aktualizácia pre Django 2.1.
Náplasti na 1.11 , 2.0 , 2.1 a pán okrem celých vydaní v Django verzia 1.11.15 ( Stiahnuť ▼ | kontrolné súčty ) a Django verzia 2.0.8 ( Stiahnuť ▼ | kontrolné súčty ). Používateľom sa odporúča, aby buď opravili svoje systémy, inovovali svoje systémy na príslušné verzie alebo vykonali aktualizáciu celého systému na najnovšie definície zabezpečenia. Tieto aktualizácie sú k dispozícii aj prostredníctvom servera poradný zverejnené na webovej stránke Django Project.
