Django ranjiv na otvorene preusmjeravanja u CommonMiddleware asfaltiranju za phishing napade

Vijesti
Sigurnost / Django ranjiv na otvorene preusmjeravanja u CommonMiddleware asfaltiranju za phishing napade 1 minuta čitanja

Django



Programeri iza projekta Django objavili su dvije nove verzije Python Web okvira: Django 1.11.15 i Django 2.0.8 nakon izvještaja Andreasa Huga o otvorenoj preusmjeravajućoj ranjivosti u CommonMiddlewareu. Oznaka je dodijeljena ranjivosti CVE-2018-14574 a objavljena ažuriranja uspješno rješavaju ranjivost prisutnu u starijim verzijama Djanga.

Django je složeni Python web okvir otvorenog izvora koji je dizajniran za programere aplikacija. Izgrađen je posebno za potrebe web programera koji pružaju sve temeljne okvire tako da ne trebaju prepisivati ​​osnove. To omogućuje programerima da se usredotoče isključivo na razvoj koda vlastite aplikacije. Okvir je besplatan i otvoren za upotrebu. Također je fleksibilno prilagoditi se individualnim potrebama i uključuje čvrste sigurnosne definicije i ispravke kako bi se programerima pomoglo da izbjegnu sigurnosne nedostatke u svojim programima.



Kako je izvijestio Hug, ranjivost se iskorištava kada se istovremeno pokrenu i pokrenu postavke 'django.middleware.common.CommonMiddleware' i 'APPEND_SLASH'. Budući da većina sustava za upravljanje sadržajem slijedi obrazac u kojem prihvaćaju bilo koju skriptu URL-a koja završava kosom crtom, kada se pristupi takvom zlonamjernom URL-u (koji također završava kosom crtom), moglo bi doći do preusmjeravanja s pristupljene web lokacije na drugu zlonamjernu web lokaciju putem kojeg bi udaljeni napadač mogao izvršiti napade krađom identiteta i prevarom na nesumnjivog korisnika.



Ova ranjivost utječe na glavnu granu Django, Django 2.1, Django 2.0 i Django 1.11. Kako Django 1.10 i stariji više nisu podržani, programeri nisu objavili ažuriranje za te verzije. Općenite korisne nadogradnje preporučuju se korisnicima koji još uvijek koriste takve stare verzije. Upravo objavljena ažuriranja rješavaju ranjivost u Django 2.0 i Django 1.11, dok je ažuriranje za Django 2.1 još uvijek na čekanju.



Flasteri za 1.11 , 2.0 , 2.1 , i ovladati; majstorski izdanja izdanja izdana su uz cijela izdanja u Django verzija 1.11.15 ( preuzimanje datoteka | kontrolne sume ) i Django verzija 2.0.8 ( preuzimanje datoteka | kontrolne sume ). Korisnicima se savjetuje da zakrpe svoje sustave, nadograde svoje sustave na odgovarajuće verzije ili izvrše cijelu nadogradnju sustava na najnovije sigurnosne definicije. Ova su ažuriranja dostupna i putem savjetodavni objavljeno na web mjestu projekta Django.