Django
Pembangun di belakang Django Project telah mengeluarkan dua versi baru dari kerangka Web Python: Django 1.11.15 dan Django 2.0.8 berikutan laporan oleh Andreas Hug mengenai kerentanan pengalihan terbuka di CommonMiddleware. Kerentanan telah diberikan label CVE-2018-14574 dan kemas kini yang dikeluarkan berjaya menyelesaikan kerentanan yang ada pada Django versi lama.
Django adalah rangka kerja Python Web sumber terbuka yang rumit yang direka untuk pembangun aplikasi. Ia dibina khusus untuk memenuhi keperluan pembangun Web yang menyediakan semua kerangka asas sehingga mereka tidak perlu menulis semula asasnya. Ini membolehkan para pembangun memberi tumpuan semata-mata untuk mengembangkan kod aplikasi mereka sendiri. Rangka kerja ini percuma dan terbuka untuk digunakan. Ia juga fleksibel untuk memenuhi keperluan individu dan memasukkan definisi dan pembetulan keselamatan yang tegas untuk membantu pemaju menghindari kekurangan keselamatan dalam program mereka.
Seperti yang dilaporkan oleh Hug, kerentanan dieksploitasi ketika pengaturan 'django.middleware.common.CommonMiddleware' dan 'APPEND_SLASH' aktif dan berjalan serentak. Oleh kerana kebanyakan sistem pengurusan kandungan mengikuti corak di mana mereka menerima skrip URL yang diakhiri dengan garis miring, ketika URL berbahaya seperti itu diakses (yang juga berakhir dengan garis miring), ini dapat mengarahkan pengalihan dari laman web yang diakses ke laman web berbahaya yang lain melalui mana penyerang jarak jauh dapat melakukan serangan phishing dan penipuan ke atas pengguna yang tidak curiga.
Kerentanan ini memberi kesan kepada cabang induk Django, Django 2.1, Django 2.0, dan Django 1.11. Oleh kerana Django 1.10 dan yang lebih lama tidak lagi disokong, pembangun belum mengeluarkan kemas kini untuk versi tersebut. Peningkatan menyeluruh generik disyorkan untuk pengguna yang masih menggunakan versi lama. Kemas kini yang baru dikeluarkan menyelesaikan kerentanan pada Django 2.0 dan Django 1.11, dengan kemas kini untuk Django 2.1 masih belum selesai.
Patch untuk 1.11 , 2.0 , 2.1 , dan tuan cawangan pelepasan telah dikeluarkan sebagai tambahan kepada keseluruhan rilis di Versi Django 1.11.15 ( muat turun | senarai semak ) dan Versi Django 2.0.8 ( muat turun | senarai semak ). Pengguna disarankan untuk memperbaiki sistem mereka, meningkatkan sistem mereka ke versi masing-masing, atau melakukan peningkatan keseluruhan sistem ke definisi keselamatan terkini. Kemas kini ini juga tersedia melalui penasihat diterbitkan di laman web Projek Django.
