Django
Los desarrolladores detrás del Proyecto Django han lanzado dos nuevas versiones del marco web Python: Django 1.11.15 y Django 2.0.8 siguiendo el informe de Andreas Hug sobre una vulnerabilidad de redireccionamiento abierto en CommonMiddleware. A la vulnerabilidad se le ha asignado la etiqueta CVE-2018-14574 y las actualizaciones publicadas resuelven con éxito la vulnerabilidad presente en versiones anteriores de Django.
Django es un intrincado marco web Python de código abierto diseñado para desarrolladores de aplicaciones. Está diseñado específicamente para satisfacer las necesidades de los desarrolladores web, proporcionando todo el marco fundamental para que no tengan que reescribir los conceptos básicos. Esto permite a los desarrolladores centrarse únicamente en desarrollar el código de su propia aplicación. El marco es gratuito y está abierto para usar. También es flexible para satisfacer las necesidades individuales e incorpora definiciones y correcciones de seguridad firmes para ayudar a los desarrolladores a evitar fallas de seguridad en sus programas.
Como informó Hug, la vulnerabilidad se explota cuando las configuraciones “django.middleware.common.CommonMiddleware” y “APPEND_SLASH” están funcionando simultáneamente. Como la mayoría de los sistemas de administración de contenido siguen un patrón en el que aceptan cualquier secuencia de comandos de URL que termine con una barra, cuando se accede a una URL maliciosa (que también termina en una barra), podría representar una redirección del sitio al que se accede a otro sitio malicioso. a través del cual un atacante remoto podría realizar ataques de phishing y estafa en el usuario desprevenido.
Esta vulnerabilidad afecta a la rama maestra de Django, Django 2.1, Django 2.0 y Django 1.11. Como Django 1.10 y versiones anteriores ya no son compatibles, los desarrolladores no han lanzado una actualización para esas versiones. Se recomiendan actualizaciones genéricas y saludables para los usuarios que aún utilizan versiones antiguas. Las actualizaciones recién publicadas resuelven la vulnerabilidad en Django 2.0 y Django 1.11, con una actualización para Django 2.1 aún pendiente.
Parches para el 1.11 , 2.0 , 2.1 y Maestro Se han emitido ramas de lanzamiento además de todos los lanzamientos en Django versión 1.11.15 ( descargar | sumas de comprobación ) y Django versión 2.0.8 ( descargar | sumas de comprobación ). Se recomienda a los usuarios que parcheen sus sistemas, actualicen sus sistemas a las versiones respectivas o realicen una actualización completa del sistema a las últimas definiciones de seguridad. Estas actualizaciones también están disponibles a través del consultivo publicado en el sitio web del Proyecto Django.
