Django
Udviklerne bag Django-projektet har frigivet to nye versioner af Python Web-rammen: Django 1.11.15 og Django 2.0.8 efter rapporten fra Andreas Hug om en åben omdirigeringssårbarhed i CommonMiddleware. Sårbarheden er tildelt etiketten CVE-2018-14574 og de frigjorte opdateringer løser succesfuldt sårbarheden i ældre versioner af Django.
Django er en indviklet opensource Python Web-ramme, der er designet til applikationsudviklere. Den er bygget specielt til at imødekomme behovene hos webudviklere, der leverer alle de grundlæggende rammer, så de ikke behøver at omskrive det grundlæggende. Dette giver udviklere mulighed for udelukkende at fokusere på at udvikle koden til deres egen applikation. Rammen er gratis og åben for brug. Det er også fleksibelt til at imødekomme individuelle behov og inkorporerer faste sikkerhedsdefinitioner og rettelser for at hjælpe udviklere med at fjerne sikkerhedsfejl i deres programmer.
Som rapporteret af Hug udnyttes sårbarheden, når indstillingerne for 'django.middleware.common.CommonMiddleware' og 'APPEND_SLASH' kører samtidigt. Da de fleste indholdsstyringssystemer følger et mønster, hvor de accepterer ethvert URL-script, der ender med en skråstreg, når en sådan ondsindet URL er adgang (som også ender i en skråstreg), kan det udgøre en omdirigering fra det websted, der er adgang til, til et andet ondsindet websted hvorigennem en fjernangriber kunne udføre phishing- og svindelangreb på den intetanende bruger.
Denne sårbarhed påvirker Django-mastergren, Django 2.1, Django 2.0 og Django 1.11. Da Django 1.10 og ældre ikke længere understøttes, har udviklerne ikke frigivet en opdatering til disse versioner. Generiske sunde opgraderinger anbefales til brugere, der stadig bruger sådanne gamle versioner. De netop udgivne opdateringer løser sårbarheden i Django 2.0 og Django 1.11, med en opdatering til Django 2.1 stadig afventet.
Plaster til 1.11 , 2.0 , 2.1 og mestre der er udstedt filialer ud over hele frigivelserne i Django version 1.11.15 ( Hent | kontrolsummer ) og Django version 2.0.8 ( Hent | kontrolsummer ). Brugere rådes til enten at lappe deres systemer, opgradere deres systemer til de respektive versioner eller udføre en hel systemopgradering til de nyeste sikkerhedsdefinitioner. Disse opdateringer er også tilgængelige via rådgivende offentliggjort på webstedet Django Project.
