Django
Para pengembang di belakang Proyek Django telah merilis dua versi baru dari kerangka Web Python: Django 1.11.15 dan Django 2.0.8 mengikuti laporan oleh Andreas Hug tentang kerentanan pengalihan terbuka di CommonMiddleware. Kerentanan telah diberi label CVE-2018-14574 dan pemutakhiran terbitan berhasil mengatasi kerentanan yang ada di versi lama Django.
Django adalah kerangka kerja Web Python open source yang rumit yang dirancang untuk pengembang aplikasi. Itu dibuat khusus untuk memenuhi kebutuhan pengembang Web yang menyediakan semua kerangka kerja dasar sehingga mereka tidak perlu menulis ulang dasar-dasarnya. Ini memungkinkan pengembang untuk fokus hanya pada pengembangan kode aplikasi mereka sendiri. Kerangka ini gratis dan terbuka untuk digunakan. Ini juga fleksibel untuk memenuhi kebutuhan individu dan menggabungkan definisi dan koreksi keamanan yang kuat untuk membantu pengembang menghindari kelemahan keamanan dalam program mereka.
Seperti dilaporkan oleh Hug, kerentanan dieksploitasi saat pengaturan “django.middleware.common.CommonMiddleware” dan “APPEND_SLASH” aktif dan berjalan secara bersamaan. Karena sebagian besar sistem manajemen konten mengikuti pola di mana mereka menerima skrip URL yang diakhiri dengan garis miring, ketika URL berbahaya seperti itu diakses (yang juga diakhiri dengan garis miring), itu dapat menimbulkan pengalihan dari situs yang diakses ke situs berbahaya lainnya. di mana penyerang jarak jauh dapat melakukan serangan phishing dan penipuan terhadap pengguna yang tidak menaruh curiga.
Kerentanan ini berdampak pada cabang master Django, Django 2.1, Django 2.0, dan Django 1.11. Karena Django 1.10 dan yang lebih lama tidak lagi didukung, para pengembang belum merilis pembaruan untuk versi itu. Upgrade sehat generik direkomendasikan untuk pengguna yang masih menggunakan versi lama tersebut. Pemutakhiran yang baru saja dirilis mengatasi kerentanan di Django 2.0 dan Django 1.11, dengan pemutakhiran untuk Django 2.1 masih menunggu.
Patch untuk file 1.11 , 2.0 , 2.1 , dan menguasai rilis cabang telah diterbitkan selain seluruh rilis dalam Django versi 1.11.15 ( unduh | checksum ) dan Django versi 2.0.8 ( unduh | checksum ). Pengguna disarankan untuk menambal sistem mereka, meningkatkan sistem mereka ke versi masing-masing, atau melakukan peningkatan sistem secara keseluruhan ke definisi keamanan terbaru. Pembaruan ini juga tersedia melalui penasehat diterbitkan di situs web Proyek Django.
