Τζάνγκο
Οι προγραμματιστές πίσω από το Django Project έχουν κυκλοφορήσει δύο νέες εκδόσεις του πλαισίου Python Web: Django 1.11.15 και Django 2.0.8 μετά την έκθεση του Andreas Hug για μια ευπάθεια ανοιχτής ανακατεύθυνσης στο CommonMiddleware Η ευπάθεια έχει εκχωρηθεί στην ετικέτα CVE-2018-14574 και οι ενημερωμένες εκδόσεις επιλύουν με επιτυχία την ευπάθεια που υπάρχει σε παλαιότερες εκδόσεις του Django.
Το Django είναι ένα περίπλοκο πλαίσιο Python Web ανοιχτού κώδικα που έχει σχεδιαστεί για προγραμματιστές εφαρμογών. Είναι κατασκευασμένο ειδικά για να καλύψει τις ανάγκες των προγραμματιστών Ιστού παρέχοντας όλο το θεμελιώδες πλαίσιο, ώστε να μην χρειάζεται να ξαναγράψουν τα βασικά. Αυτό επιτρέπει στους προγραμματιστές να επικεντρώνονται αποκλειστικά στην ανάπτυξη του κώδικα της δικής τους εφαρμογής. Το πλαίσιο είναι δωρεάν και ανοιχτό στη χρήση. Είναι επίσης ευέλικτο για την κάλυψη μεμονωμένων αναγκών και ενσωματώνει σταθερούς ορισμούς ασφαλείας και διορθώσεις για να βοηθήσει τους προγραμματιστές να αποφεύγουν τις ατέλειες ασφαλείας στα προγράμματά τους.
Όπως ανέφερε ο Hug, η ευπάθεια αξιοποιείται όταν οι ρυθμίσεις 'django.middleware.common.CommonMiddleware' και 'APPEND_SLASH' λειτουργούν ταυτόχρονα. Δεδομένου ότι τα περισσότερα συστήματα διαχείρισης περιεχομένου ακολουθούν ένα μοτίβο στο οποίο αποδέχονται οποιαδήποτε δέσμη ενεργειών URL που τελειώνει με κάθετο, όταν προσπελάζεται μια τέτοια κακόβουλη διεύθυνση URL (η οποία καταλήγει επίσης σε κάθετο), θα μπορούσε να δημιουργήσει μια ανακατεύθυνση από τον ιστότοπο στον οποίο έχετε πρόσβαση σε έναν άλλο κακόβουλο ιστότοπο μέσω του οποίου ένας απομακρυσμένος εισβολέας θα μπορούσε να εκτελέσει επιθέσεις ηλεκτρονικού ψαρέματος και απάτης στον ανυποψίαστο χρήστη.
Αυτή η ευπάθεια επηρεάζει τον κύριο κλάδο του Django, το Django 2.1, το Django 2.0 και το Django 1.11. Καθώς το Django 1.10 και τα παλαιότερα δεν υποστηρίζονται πλέον, οι προγραμματιστές δεν έχουν κυκλοφορήσει μια ενημέρωση για αυτές τις εκδόσεις. Συνιστάται γενικές υγιείς αναβαθμίσεις για χρήστες που εξακολουθούν να χρησιμοποιούν τέτοιες παλιές εκδόσεις. Οι ενημερώσεις που μόλις κυκλοφόρησαν επιλύουν την ευπάθεια στα Django 2.0 και Django 1.11, ενώ εκκρεμεί μια ενημέρωση για το Django 2.1.
Διορθώσεις για το 1.11 , 2.0 , 2.1 , και κύριος έχουν εκδοθεί υποκαταστήματα εκδόσεων επιπλέον των συνολικών εκδόσεων το Έκδοση Django 1.11.15 ( Κατεβάστε | αθροίσματα ) και Έκδοση Django 2.0.8 ( Κατεβάστε | αθροίσματα ). Συνιστάται στους χρήστες είτε να διορθώσουν τα συστήματά τους, να αναβαθμίσουν τα συστήματά τους στις αντίστοιχες εκδόσεις, είτε να πραγματοποιήσουν μια πλήρη αναβάθμιση του συστήματος στους πιο πρόσφατους ορισμούς ασφαλείας. Αυτές οι ενημερώσεις είναι επίσης διαθέσιμες μέσω του συμβουλευτικός δημοσιεύθηκε στον ιστότοπο του Django Project.
