The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление web-фреймворка Django с устранением уязвимости

25.11.2015 08:53

Опубликованы корректирующие выпуски web-фреймворка Django 1.9rc2, 1.8.7 и 1.7.11, в которых устранена уязвимость (CVE-2015-8213), позволяющая узнать содержимое любой переменной конфигурации. Например, атакующий может узнать содержимое настроек, включающих такие конфиденциальные данные, как ключи шифрования и пароли доступа к СУБД. Уязвимость также проявляется в Django 1.6 и более ранних выпусках, поддержка которых уже прекращена. Пользователям Django рекомендуется как можно скорее установить обновление или перейти на использование актуальной ветки фреймворка.

Проблема вызвана ошибкой в реализации фильтра "date", допускающего применение некорректного формата даты, вместо которой можно передать имя параметра конфигурации и получить его значение (функция django.utils.formats.get_format() обрабатывала не только настройки форматирования даты, но и осуществляла подстановку других параметров конфигурации). Уязвимость проявляется в приложениях, использующих фильтр "date" над данными, поступающими извне (например "last_updated|date:user_date_format").

  1. Главная ссылка к новости (https://www.djangoproject.com/...)
  2. OpenNews: Релиз web-фреймворка Django 1.8
  3. OpenNews: Релиз web-фреймворка Django 1.7
  4. OpenNews: Релиз web-фреймворка Django 1.6
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/43391-django
Ключевые слова: django
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (14) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, eRIC (ok), 10:35, 25/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    прям как Django неуязвимый :)
     
  • 1.2, 10й Брейтовский переулок (?), 11:27, 25/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Как фреймворк - так уязвимост(и)ь!
     
     
  • 2.3, тоже Аноним (ok), 11:35, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    В тесовых заборах и штакетнике, в отличие от крепостных стен, брешей не бывает.
    Но это не означает, что они безопаснее.
     
  • 2.4, Аноним (-), 12:18, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Напишите свой фреймворк, без уязвимостей и дыр.
     
     
  • 3.5, Anonymous1 (?), 14:05, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    "Если написать фреймворк, которым сможет пользоваться и дурак, то только дураки будут им пользоваться" (слегка перефразированная классика, кажется Вирт, исходно по поводу операционных систем).
     
     
  • 4.6, Typhoon (ok), 16:57, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    это самомнение
     
     
  • 5.9, . (?), 17:41, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Он "сперва сделай!" - сделал. Имеет право рассуждать.
    Ты - нет.
     
  • 4.7, www2 (??), 17:06, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Я бы не сказал, что этим фреймворком могут пользоваться одни дураки. У него достаточно серьёзный порог вхождения. На PHP научиться писать гораздо проще.
     
     
  • 5.10, . (?), 17:43, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Я бы не сказал, что этим фреймворком могут пользоваться одни дураки. У
    > него достаточно серьёзный порог вхождения. На PHP научиться писать гораздо проще.

    Шутишь? Потому как если серьёзно ... то я даже не знаю ...
    Я не поклонник джанги, но пля что может быть для новичка проще?

     
     
  • 6.12, www2 (??), 17:48, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Я бы не сказал, что этим фреймворком могут пользоваться одни дураки. У
    >> него достаточно серьёзный порог вхождения. На PHP научиться писать гораздо проще.
    > Шутишь? Потому как если серьёзно ... то я даже не знаю ...
    > Я не поклонник джанги, но пля что может быть для новичка проще?

    Bottle, например. Или вы Django без ORM, шаблонизатора и объектов форм используете?

     
  • 4.8, meequz (ok), 17:18, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Пользоваться холодильником может и дурак - значит холодильниками пользуются только дураки. Ну бред же, видно невооружённым взглядом. Если Вирт действительно так сказал, то ему стоит повторить курс логики.
     
     
  • 5.11, . (?), 17:46, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Пользоваться холодильником может и дурак - значит холодильниками пользуются только дураки.
    > Ну бред же, видно невооружённым взглядом. Если Вирт действительно так сказал,
    > то ему стоит повторить курс логики.

    meequz учит мэтра формальной логике ... :-)
    Галантерейщик и Кардинал - это сила! Мы спасём францию! (С)

    Пыхтит, мля, старается и не видит что дедушка тихонечко ржет :)

     
  • 4.13, Аноним (-), 18:27, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Исходно это принцип Шоу.
     
     
  • 5.14, анан (?), 23:51, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    шоу маст гоу он?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру