ג'נגו
המפתחים שעומדים מאחורי פרויקט Django פרסמו שתי גרסאות חדשות למסגרת האינטרנט של Python: Django 1.11.15 ו- Django 2.0.8 בעקבות הדיווח של אנדראס חוג על פגיעות הפניה להפניה מחדש ב- CommonMiddleware. לפגיעות הוקצה התווית CVE-2018-14574 והעדכונים שפורסמו פותרים בהצלחה את הפגיעות הקיימת בגירסאות ישנות יותר של ג'נגו.
Django היא מסגרת פיתון אינטרנט מורכבת של פתח-מקור המיועדת למפתחי אפליקציות. הוא נבנה במיוחד כדי לספק את הצרכים של מפתחי אתרים המספקים את כל המסגרת הבסיסית, כך שהם לא צריכים לשכתב את היסודות. זה מאפשר למפתחים להתמקד אך ורק בפיתוח הקוד של היישום שלהם. המסגרת חופשית ופתוחה לשימוש. הוא גם גמיש בכדי לתת מענה לצרכים האישיים ומשלב הגדרות אבטחה איתנות ותיקונים שיעזרו למפתחים להימנע מפגמי אבטחה בתוכניות שלהם.
כפי שדווח על ידי Hug, הפגיעות מנוצלת כאשר ההגדרות 'django.middleware.common.CommonMiddleware' ו- 'APPEND_SLASH' פועלות בו זמנית. מכיוון שרוב מערכות ניהול התוכן עוקבות אחר דפוס בו הן מקבלות כל סקריפט של כתובות אתרים שמסתיים עם קו נטוי, כאשר ניגשים לכתובת אתר זדונית שכזו (שמסתיימת גם בקו נטוי), היא עשויה להוביל להפניה מהאתר אליו נכנסת לאתר זדוני אחר. דרכו יכול תוקף מרחוק לבצע פיגועי התחזות והונאה על המשתמש התמידי.
פגיעות זו משפיעה על סניף ה- Django, Django 2.1, Django 2.0 ו- Django 1.11. מכיוון שג'אנגו 1.10 ומעלה כבר לא נתמכים, המפתחים לא פרסמו עדכון לגרסאות אלה. מומלץ לשדרג כללי בריא למשתמשים שעדיין משתמשים בגרסאות ישנות כאלה. העדכונים שפורסמו זה עתה פותרים את הפגיעות בג'אנגו 2.0 ובג'נגו 1.11, כאשר עדכון לג'נגו 2.1 עדיין ממתין.
תיקונים עבור 1.11 , 2.0 , 2.1 , ו לִשְׁלוֹט סניפי שחרור הונפקו בנוסף לכל המהדורות ב גרסת Django 1.11.15 ( הורד | סכומי בדיקה ) ו גרסת Django 2.0.8 ( הורד | סכומי בדיקה ). מומלץ למשתמשים לתקן את מערכותיהם, לשדרג את מערכותיהם לגרסאות המתאימות, או לבצע שדרוג שלם של המערכת להגדרות האבטחה העדכניות ביותר. עדכונים אלה זמינים גם דרך ייעוץ פורסם באתר פרויקט ג'נגו.
