Джанго
Разработчики Django Project выпустили две новые версии веб-фреймворка Python: Django 1.11.15 и Django 2.0.8 после отчета Андреаса Хага об уязвимости открытого перенаправления в CommonMiddleware. Уязвимости присвоен ярлык CVE-2018-14574 а выпущенные обновления успешно устраняют уязвимость, присутствующую в более старых версиях Django.
Django - это сложная веб-среда Python с открытым исходным кодом, предназначенная для разработчиков приложений. Он создан специально для удовлетворения потребностей веб-разработчиков, предоставляя всю основную структуру, так что им не нужно переписывать основы. Это позволяет разработчикам сосредоточиться исключительно на разработке кода своего собственного приложения. Фреймворк бесплатен и открыт для использования. Он также гибок, чтобы удовлетворить индивидуальные потребности, и включает в себя твердые определения и исправления безопасности, чтобы помочь разработчикам избегать недостатков безопасности в своих программах.
Как сообщает Hug, уязвимость используется, когда настройки «django.middleware.common.CommonMiddleware» и «APPEND_SLASH» работают одновременно. Поскольку большинство систем управления контентом следуют шаблону, в котором они принимают любой сценарий URL-адреса, который заканчивается косой чертой, при обращении к такому вредоносному URL-адресу (который также заканчивается косой чертой) он может создавать перенаправление с сайта, к которому осуществляется доступ, на другой вредоносный сайт с помощью которых удаленный злоумышленник может выполнять фишинговые и мошеннические атаки на ничего не подозревающего пользователя.
Эта уязвимость затрагивает основную ветку Django, Django 2.1, Django 2.0 и Django 1.11. Поскольку Django 1.10 и старше больше не поддерживаются, разработчики не выпустили обновления для этих версий. Для пользователей, все еще использующих такие старые версии, рекомендуются общие полезные обновления. Только что выпущенные обновления устраняют уязвимость в Django 2.0 и Django 1.11, при этом обновление для Django 2.1 все еще не завершено.
Патчи для 1.11 , 2.0 , 2.1 , и мастер выпускные ветки были выпущены в дополнение ко всем выпускам в Django версии 1.11.15 ( скачать | контрольные суммы ) и Django версии 2.0.8 ( скачать | контрольные суммы ). Пользователям рекомендуется либо исправить свои системы, обновить свои системы до соответствующих версий, либо выполнить обновление всей системы до последних определений безопасности. Эти обновления также доступны через консультативный опубликовано на сайте Django Project.
