Django
„Django“ projekto kūrėjai išleido dvi naujas „Python“ žiniatinklio sistemos versijas: „Django 1.11.15“ ir „Django 2.0.8“ po Andreaso Hugo pranešimo apie „CommonMiddleware“ atvirą peradresavimo pažeidžiamumą. Pažeidžiamumas buvo pažymėtas etikete CVE-2018-14574 ir išleisti atnaujinimai sėkmingai pašalina senesnių „Django“ versijų pažeidžiamumą.
„Django“ yra sudėtinga „Python“ tinklo „open source“ sistema, skirta programų kūrėjams. Jis sukurtas specialiai tenkinant interneto kūrėjų poreikius, užtikrinant visus pagrindinius pagrindus, kad jiems nereikėtų perrašyti pagrindų. Tai leidžia kūrėjams sutelkti dėmesį tik į savo pačios programos kodo kūrimą. Karkasas yra nemokamas ir atviras naudoti. Ji taip pat yra lanksti, kad atitiktų individualius poreikius, ir įtraukia tvirtus saugumo apibrėžimus ir pataisymus, kad kūrėjai galėtų lengviau išvengti saugos trūkumų savo programose.
Kaip pranešė Hugas, pažeidžiamumas išnaudojamas, kai „django.middleware.common.CommonMiddleware“ ir „APPEND_SLASH“ nustatymai veikia ir veikia vienu metu. Kadangi dauguma turinio valdymo sistemų laikosi šablono, pagal kurį jie priima bet kokį URL scenarijų, kuris baigiasi pasviruoju brūkšniu, pasiekus tokį kenkėjišką URL (kuris taip pat pasibaigia pasviruoju brūkšniu), jis gali nukreipti iš pasiektos svetainės į kitą kenkėjišką svetainę. per kurį nuotolinis užpuolikas galėjo atlikti netikrų vartotojų sukčiavimo ir sukčiavimo išpuolius.
Šis pažeidžiamumas daro įtaką pagrindiniam „Django“ filialui „Django 2.1“, „Django 2.0“ ir „Django 1.11“. Kadangi „Django 1.10“ ir senesnės versijos nebepalaikomos, kūrėjai neišleido šių versijų atnaujinimo. Vartotojams, kurie vis dar naudoja tokias senas versijas, rekomenduojami bendri visaverčiai atnaujinimai. Ką tik išleisti naujinimai pašalina „Django 2.0“ ir „Django 1.11“ pažeidžiamumą, vis dar laukiama „Django 2.1“ naujinimo.
Pataisos 1.11 , 2.0 , 2.1 ir meistras išleidimo filialai buvo išleisti be visų leidimų 2008 m „Django“ versija 1.11.15 ( parsisiųsti | kontrolinės sumos ) ir „Django“ versija 2.0.8 ( parsisiųsti | kontrolinės sumos ). Vartotojams patariama pataisyti savo sistemas, atnaujinti sistemas į atitinkamas versijas arba atlikti visos sistemos atnaujinimą pagal naujausius saugos apibrėžimus. Šiuos atnaujinimus taip pat galite rasti per patariamoji paskelbta „Django“ projekto svetainėje.
