Джанго
Разработчиците зад проекта Django пуснаха две нови версии на Python Web framework: Django 1.11.15 и Django 2.0.8 след доклада на Андреас Хюг за открита пренасочваща уязвимост в CommonMiddleware. Уязвимостта е определена като етикет CVE-2018-14574 и пуснатите актуализации успешно разрешават уязвимостта, налична в по-старите версии на Django.
Django е сложна Python Web рамка с отворен източник, която е предназначена за разработчици на приложения. Той е създаден специално, за да отговори на нуждите на уеб разработчиците, предоставяйки цялата основна рамка, така че да не се налага да пренаписват основите. Това позволява на разработчиците да се съсредоточат единствено върху разработването на кода на собственото си приложение. Рамката е безплатна и отворена за използване. Той също така е гъвкав, за да отговори на индивидуалните нужди и включва твърди дефиниции и корекции на сигурността, за да помогне на разработчиците да избегнат недостатъците на сигурността в своите програми.
Както съобщава Hug, уязвимостта се експлоатира, когато настройките “django.middleware.common.CommonMiddleware” и “APPEND_SLASH” стартират и работят едновременно. Тъй като повечето системи за управление на съдържанието следват модел, при който приемат всеки скрипт на URL адрес, който завършва с наклонена черта, когато такъв злонамерен URL адрес е достъпен (който също завършва с наклонена черта), той може да представлява пренасочване от достъпния сайт към друг злонамерен сайт чрез които отдалечен нападател може да извършва фишинг и измамни атаки върху нищо неподозиращия потребител.
Тази уязвимост засяга главния клон на Django, Django 2.1, Django 2.0 и Django 1.11. Тъй като Django 1.10 и по-стари вече не се поддържат, разработчиците не са пуснали актуализация за тези версии. Общи здравословни надстройки се препоръчват за потребители, които все още използват такива стари версии. Току-що пуснатите актуализации разрешават уязвимостта в Django 2.0 и Django 1.11, като актуализацията за Django 2.1 все още предстои.
Пачове за 1.11 , 2.0 , 2.1 , и майстор издадени клонове са издадени в допълнение към целите издания през Django версия 1.11.15 ( Изтегли | контролни суми ) и Django версия 2.0.8 ( Изтегли | контролни суми ). Потребителите се съветват или да поправят системите си, да надстроят системите си до съответните версии или да извършат цялостно надстройване на системата до най-новите дефиниции за защита. Тези актуализации са достъпни и чрез консултативен публикувано на уебсайта на проекта Django.
