Django
Django projekti arendajad on välja andnud Pythoni veebiraamistiku kaks uut versiooni: Django 1.11.15 ja Django 2.0.8 pärast Andreas Hugi aruannet CommonMiddleware avatud ümbersuunamise haavatavuse kohta. Haavatavusele on silt antud CVE-2018-14574 ja välja antud värskendused lahendavad Django vanemates versioonides esineva haavatavuse edukalt.
Django on keeruline avatud lähtekoodiga Pythoni veebiraamistik, mis on mõeldud rakenduste arendajatele. See on loodud spetsiaalselt veebiarendajate vajaduste rahuldamiseks, pakkudes kogu põhiraamistikku, et neil poleks vaja põhitõdesid ümber kirjutada. See võimaldab arendajatel keskenduda ainult oma rakenduse koodi väljatöötamisele. Raamistik on tasuta ja avatud kasutamiseks. Samuti on see paindlik individuaalsete vajaduste rahuldamiseks ning see sisaldab kindlaid turbemääratlusi ja parandusi, et aidata arendajatel oma programmides turva vigadest eemale hoida.
Nagu Hug teatas, kasutatakse haavatavust ära, kui seaded „django.middleware.common.CommonMiddleware” ja „APPEND_SLASH” on üheaegselt üleval ja töötavad. Kuna enamik sisuhaldussüsteeme järgib mustrit, milles nad aktsepteerivad kõiki kaldkriipsuga lõppevaid URL-i skripte, võib sellisele pahatahtlikule URL-ile juurde pääsemisel (mis lõpeb ka kaldkriipsuga), mis võib suunata juurdepääsu saidilt teisele pahatahtlikule saidile mille kaudu kaugründaja saaks pahaaimamatu kasutajale teha andmepüügi- ja pettusrünnakuid.
See haavatavus mõjutab Django põhiharu, Django 2.1, Django 2.0 ja Django 1.11. Kuna Django 1.10 ja vanemaid ei toetata enam, pole arendajad nende versioonide jaoks värskendust välja andnud. Kasutajatel, kes kasutavad endiselt selliseid vanu versioone, soovitatakse üldiseid kasulikke täiendusi. Äsja avaldatud värskendused lahendavad Django 2.0 ja Django 1.11 haavatavuse, Django 2.1 värskendus on veel ootel.
Plaastrid 1.11 , 2.0 , 2.1 ja meister aastal on kogu väljalaske kõrval välja antud ka filiaalid Django versioon 1.11.15 ( lae alla | kontrollsummad ) ja Django versioon 2.0.8 ( lae alla | kontrollsummad ). Kasutajatel soovitatakse kas lappida oma süsteemid, uuendada süsteemid vastavatele versioonidele või viia kogu süsteem üle uusimate turbemääratluste järgi. Need värskendused on saadaval ka Interneti kaudu nõuandev avaldatud Django projekti veebisaidil.
