Django
Django projekta izstrādātāji ir izlaiduši divas jaunas Python Web ietvara versijas: Django 1.11.15 un Django 2.0.8 pēc Andreas Hug paziņojuma par atklātu novirzīšanas ievainojamību CommonMiddleware. Ievainojamībai ir piešķirta etiķete CVE-2018-14574 un izlaistie atjauninājumi veiksmīgi novērš vecākajās Django versijās esošo ievainojamību.
Django ir sarežģīts atvērtā koda Python tīmekļa ietvars, kas paredzēts lietojumprogrammu izstrādātājiem. Tas ir īpaši izstrādāts, lai apmierinātu tīmekļa izstrādātāju vajadzības, nodrošinot visu pamatprincipu sistēmu, lai viņiem nebūtu jāpārraksta pamati. Tas ļauj izstrādātājiem koncentrēties tikai uz savas lietojumprogrammas koda izstrādi. Sistēma ir brīva un atvērta lietošanai. Tas ir arī elastīgs, lai apmierinātu individuālās vajadzības, un tajā ir iekļautas stingras drošības definīcijas un labojumi, lai palīdzētu izstrādātājiem izvairīties no drošības trūkumiem viņu programmās.
Kā ziņoja Hug, ievainojamība tiek izmantota, ja iestatījumi “django.middleware.common.CommonMiddleware” un “APPEND_SLASH” darbojas vienlaikus. Tā kā lielākā daļa satura pārvaldības sistēmu seko paraugam, kurā tās pieņem jebkuru URL skriptu, kas beidzas ar slīpsvītru, piekļūstot šādam ļaunprātīgam URL (kas arī beidzas ar slīpsvītru), tas var novirzīt no piekļūtās vietnes uz citu ļaunprātīgu vietni. caur kuru attālais uzbrucējs varēja veikt pikšķerēšanas un blēdības uzbrukumus nenojaušam lietotājam.
Šī ievainojamība ietekmē Django galveno nozari, Django 2.1, Django 2.0 un Django 1.11. Tā kā Django 1.10 un vecākas versijas vairs netiek atbalstītas, izstrādātāji nav izlaiduši šo versiju atjauninājumu. Vispārīgi pilnvērtīgi jauninājumi ir ieteicami lietotājiem, kuri joprojām izmanto šādas vecās versijas. Tikko izlaistie atjauninājumi novērš Django 2.0 un Django 1.11 ievainojamību, un joprojām gaidāms Django 2.1 atjauninājums.
Plāksteri 1.11 , 2.0 , 2.1 , un meistars laidiena filiāles ir izdotas papildus visiem laidieniem Django versija 1.11.15 ( lejupielādēt | kontrolsummas ) un Django versija 2.0.8 ( lejupielādēt | kontrolsummas ). Lietotājiem ieteicams vai nu ielāpīt savas sistēmas, jaunināt sistēmas uz attiecīgajām versijām vai arī veikt visas sistēmas jaunināšanu atbilstoši jaunākajām drošības definīcijām. Šie atjauninājumi ir pieejami arī vietnē konsultatīvs publicēts Django projekta vietnē.
