The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

25.11.2015 08:53  Обновление web-фреймворка Django с устранением уязвимости

Опубликованы корректирующие выпуски web-фреймворка Django 1.9rc2, 1.8.7 и 1.7.11, в которых устранена уязвимость (CVE-2015-8213), позволяющая узнать содержимое любой переменной конфигурации. Например, атакующий может узнать содержимое настроек, включающих такие конфиденциальные данные, как ключи шифрования и пароли доступа к СУБД. Уязвимость также проявляется в Django 1.6 и более ранних выпусках, поддержка которых уже прекращена. Пользователям Django рекомендуется как можно скорее установить обновление или перейти на использование актуальной ветки фреймворка.

Проблема вызвана ошибкой в реализации фильтра "date", допускающего применение некорректного формата даты, вместо которой можно передать имя параметра конфигурации и получить его значение (функция django.utils.formats.get_format() обрабатывала не только настройки форматирования даты, но и осуществляла подстановку других параметров конфигурации). Уязвимость проявляется в приложениях, использующих фильтр "date" над данными, поступающими извне (например "last_updated|date:user_date_format").

  1. Главная ссылка к новости (https://www.djangoproject.com/...)
  2. OpenNews: Релиз web-фреймворка Django 1.8
  3. OpenNews: Релиз web-фреймворка Django 1.7
  4. OpenNews: Релиз web-фреймворка Django 1.6
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: django
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, eRIC, 10:35, 25/11/2015 [ответить] [смотреть все]
  • +5 +/
    прям как Django неуязвимый :)
     
  • 1.2, 10й Брейтовский переулок, 11:27, 25/11/2015 [ответить] [смотреть все]
  • –1 +/
    Как фреймворк - так уязвимост(и)ь!
     
     
  • 2.3, тоже Аноним, 11:35, 25/11/2015 [^] [ответить] [смотреть все]
  • +/
    В тесовых заборах и штакетнике, в отличие от крепостных стен, брешей не бывает.
    Но это не означает, что они безопаснее.
     
  • 2.4, Аноним, 12:18, 25/11/2015 [^] [ответить] [смотреть все]
  • +/
    Напишите свой фреймворк, без уязвимостей и дыр.
     
     
  • 3.5, Anonymous1, 14:05, 25/11/2015 [^] [ответить] [смотреть все]
  • +/
    "Если написать фреймворк, которым сможет пользоваться и дурак, то только дураки будут им пользоваться" (слегка перефразированная классика, кажется Вирт, исходно по поводу операционных систем).
     
     
  • 4.6, Typhoon, 16:57, 25/11/2015 [^] [ответить] [смотреть все]  
  • +/
    это самомнение
     
     
  • 5.9, ., 17:41, 25/11/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Он "сперва сделай!" - сделал. Имеет право рассуждать.
    Ты - нет.
     
  • 4.7, www2, 17:06, 25/11/2015 [^] [ответить] [смотреть все]  
  • +/
    Я бы не сказал, что этим фреймворком могут пользоваться одни дураки. У него достаточно серьёзный порог вхождения. На PHP научиться писать гораздо проще.
     
     
  • 5.10, ., 17:43, 25/11/2015 [^] [ответить] [смотреть все]  
  • +/
    > Я бы не сказал, что этим фреймворком могут пользоваться одни дураки. У
    > него достаточно серьёзный порог вхождения. На PHP научиться писать гораздо проще.

    Шутишь? Потому как если серьёзно ... то я даже не знаю ...
    Я не поклонник джанги, но пля что может быть для новичка проще?

     
     
  • 6.12, www2, 17:48, 25/11/2015 [^] [ответить] [смотреть все]  
  • +/
    >> Я бы не сказал, что этим фреймворком могут пользоваться одни дураки. У
    >> него достаточно серьёзный порог вхождения. На PHP научиться писать гораздо проще.
    > Шутишь? Потому как если серьёзно ... то я даже не знаю ...
    > Я не поклонник джанги, но пля что может быть для новичка проще?

    Bottle, например. Или вы Django без ORM, шаблонизатора и объектов форм используете?

     
  • 4.8, meequz, 17:18, 25/11/2015 [^] [ответить] [смотреть все]  
  • +3 +/
    Пользоваться холодильником может и дурак - значит холодильниками пользуются только дураки. Ну бред же, видно невооружённым взглядом. Если Вирт действительно так сказал, то ему стоит повторить курс логики.
     
     
  • 5.11, ., 17:46, 25/11/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    > Пользоваться холодильником может и дурак - значит холодильниками пользуются только дураки.
    > Ну бред же, видно невооружённым взглядом. Если Вирт действительно так сказал,
    > то ему стоит повторить курс логики.

    meequz учит мэтра формальной логике ... :-)
    Галантерейщик и Кардинал - это сила! Мы спасём францию! (С)

    Пыхтит, мля, старается и не видит что дедушка тихонечко ржет :)

     
  • 4.13, Аноним, 18:27, 25/11/2015 [^] [ответить] [смотреть все]  
  • +/
    Исходно это принцип Шоу.
     
     
  • 5.14, анан, 23:51, 25/11/2015 [^] [ответить] [смотреть все]  
  • +/
    шоу маст гоу он?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor