Django
Os desenvolvedores por trás do Projeto Django lançaram duas novas versões do framework Python Web: Django 1.11.15 e Django 2.0.8 após o relatório de Andreas Hug sobre uma vulnerabilidade de redirecionamento aberto no CommonMiddleware. A vulnerabilidade recebeu o rótulo CVE-2018-14574 e as atualizações lançadas resolvem com sucesso a vulnerabilidade presente nas versões anteriores do Django.
Django é uma intrincada estrutura Python da Web de código aberto, projetada para desenvolvedores de aplicativos. Ele é construído especificamente para atender às necessidades dos desenvolvedores da Web, fornecendo toda a estrutura fundamental para que eles não precisem reescrever o básico. Isso permite que os desenvolvedores se concentrem exclusivamente no desenvolvimento do código de seu próprio aplicativo. A estrutura é gratuita e aberta para uso. Também é flexível para atender às necessidades individuais e incorpora definições e correções de segurança firmes para ajudar os desenvolvedores a evitar falhas de segurança em seus programas.
Conforme relatado por Hug, a vulnerabilidade é explorada quando as configurações “django.middleware.common.CommonMiddleware” e “APPEND_SLASH” estão ativas e em execução simultaneamente. Como a maioria dos sistemas de gerenciamento de conteúdo segue um padrão no qual aceita qualquer script de URL que termine com uma barra, quando esse URL malicioso é acessado (que também termina com uma barra), ele pode representar um redirecionamento do site acessado para outro site malicioso por meio do qual um invasor remoto pode realizar ataques de phishing e scamming contra o usuário desavisado.
Esta vulnerabilidade afeta o branch master do Django, Django 2.1, Django 2.0 e Django 1.11. Como Django 1.10 e anteriores não são mais suportados, os desenvolvedores não lançaram uma atualização para essas versões. Atualizações completas genéricas são recomendadas para usuários que ainda utilizam essas versões antigas. As atualizações recém lançadas resolvem a vulnerabilidade no Django 2.0 e Django 1.11, com uma atualização para Django 2.1 ainda pendente.
Patches para o 1,11 , 2.0 , 2,1 , e mestre ramos de lançamento foram emitidos além de todos os lançamentos em Django versão 1.11.15 ( baixar | somas de verificação ) e Django versão 2.0.8 ( baixar | somas de verificação ) Os usuários são aconselhados a corrigir seus sistemas, atualizar seus sistemas para as respectivas versões ou executar uma atualização de todo o sistema com as definições de segurança mais recentes. Essas atualizações também estão disponíveis por meio do consultivo publicado no site do Projeto Django.
