Django je zranitelné při otevírání přesměrování v CommonMiddleware Dláždí cestu pro phishingové útoky

Django je zranitelné při otevírání přesměrování v CommonMiddleware Dláždí cestu pro phishingové útoky

Bezpečnostní / Django je zranitelné při otevírání přesměrování v CommonMiddleware Dláždí cestu pro phishingové útoky 1 minuta čtení

Django

Vývojáři, kteří stojí za projektem Django, vydali dvě nové verze webového rozhraní Pythonu: Django 1.11.15 a Django 2.0.8 v návaznosti na zprávu Andrease Huga o zranitelnosti otevřeného přesměrování v CommonMiddleware. Zranitelnosti byl přidělen štítek CVE-2018-14574 a vydané aktualizace úspěšně vyřeší zranitelnost přítomnou ve starších verzích Django.



Django je složitý opensource Python Web framework, který je určen pro vývojáře aplikací. Je vytvořen speciálně tak, aby vyhovoval potřebám vývojářů webu poskytujících veškerý základní rámec, aby nemuseli přepisovat základy. To umožňuje vývojářům soustředit se výhradně na vývoj kódu jejich vlastní aplikace. Rámec je zdarma a je otevřený k použití. Je také flexibilní, aby vyhovoval individuálním potřebám, a zahrnuje pevné definice a opravy zabezpečení, které vývojářům pomohou vyhnout se bezpečnostním chybám v jejich programech.

Jak uvádí Hug, tato chyba zabezpečení je zneužita, když jsou současně spuštěna nastavení „django.middleware.common.CommonMiddleware“ a „APPEND_SLASH“. Protože většina systémů pro správu obsahu postupuje podle vzoru, ve kterém přijímá jakýkoli skript adresy URL, který končí lomítkem, při přístupu k takové škodlivé adrese URL (která také končí lomítkem) by to mohlo představovat přesměrování z přístupného webu na jiný škodlivý web. prostřednictvím kterého by vzdálený útočník mohl provádět phishingové a podvodné útoky na nic netušícího uživatele.

Tato chyba zabezpečení ovlivňuje hlavní větev Django, Django 2.1, Django 2.0 a Django 1.11. Protože Django 1.10 a starší již nejsou podporovány, vývojáři pro tyto verze nevydali aktualizaci. Obecná prospěšná upgrady se doporučují uživatelům, kteří stále používají tyto staré verze. Právě vydané aktualizace řeší chybu zabezpečení v Django 2.0 a Django 1.11, aktualizace pro Django 2.1 stále čeká.



Záplaty pro 1.11 , 2.0 , 2.1 , a mistr vydávací větve byly vydány kromě celých vydání v Django verze 1.11.15 ( stažení | kontrolní součty ) a Django verze 2.0.8 ( stažení | kontrolní součty ). Uživatelům se doporučuje, aby buď opravili své systémy, upgradovali své systémy na příslušné verze, nebo provedli upgrade celého systému na nejnovější definice zabezpečení. Tyto aktualizace jsou k dispozici také na webu poradní zveřejněno na webových stránkách projektu Django.