Django
Django प्रोजेक्ट के पीछे के डेवलपर्स ने पायथन वेब फ्रेमवर्क के दो नए संस्करण जारी किए हैं: DjMango 1.11.15 और Django 2.0.8। कॉमनमैडलवेयर में एक खुले रीडायरेक्ट भेद्यता के एंड्रियास हग की रिपोर्ट के बाद। भेद्यता को लेबल आवंटित किया गया है CVE-2,018-14,574 और जारी किए गए अपडेट सफलतापूर्वक Django के पुराने संस्करणों में मौजूद भेद्यता को हल करते हैं।
Django एक जटिल ओपनसोर्स Python Web ढांचा है जिसे एप्लिकेशन डेवलपर्स के लिए बनाया गया है। यह विशेष रूप से सभी मूलभूत ढांचे को प्रदान करने वाले वेब डेवलपर्स की जरूरतों को पूरा करने के लिए बनाया गया है ताकि उन्हें मूल बातें फिर से लिखने की जरूरत न पड़े। यह डेवलपर्स को अपने स्वयं के एप्लिकेशन के कोड को विकसित करने पर पूरी तरह से ध्यान केंद्रित करने की अनुमति देता है। ढांचे का उपयोग करने के लिए स्वतंत्र और खुला है। यह व्यक्तिगत जरूरतों को पूरा करने के लिए भी लचीला है और डेवलपर्स को अपने कार्यक्रमों में सुरक्षा खामियों को स्पष्ट करने में मदद करने के लिए दृढ़ सुरक्षा परिभाषाओं और सुधारों को शामिल करता है।
जैसा कि हग द्वारा बताया गया है, जब 'django.middleware.common.CommonMiddleware' और 'APPEND_SLASH' सेटिंग्स एक साथ चल रही हैं, तो भेद्यता का शोषण होता है। जैसा कि अधिकांश सामग्री प्रबंधन प्रणालियां एक ऐसे पैटर्न का अनुसरण करती हैं जिसमें वे किसी भी URL स्क्रिप्ट को स्वीकार करते हैं जो स्लैश के साथ समाप्त होती है, जब ऐसा दुर्भावनापूर्ण URL एक्सेस किया जाता है (जो भी स्लैश में समाप्त होता है), यह एक्सेस की गई साइट से किसी अन्य दुर्भावनापूर्ण साइट पर रीडायरेक्ट कर सकता है जिसके माध्यम से एक दूरदराज के हमलावर बिना सोचे-समझे उपयोगकर्ता पर फ़िशिंग और घोटाले करने वाले हमले कर सकता है।
यह भेद्यता Django मास्टर शाखा, Django 2.1, Django 2.0 और Django 1.11 को प्रभावित करती है। Django के रूप में 1.10 और पुराने अब समर्थित नहीं हैं, डेवलपर्स ने उन संस्करणों के लिए अपडेट जारी नहीं किया है। ऐसे पुराने संस्करणों का उपयोग करने वाले उपयोगकर्ताओं के लिए सामान्य संपूर्ण उन्नयन की सिफारिश की जाती है। अभी जारी किए गए अपडेट Django 2.0 और Django 1.11 में भेद्यता को हल करते हैं, Django 2.1 के लिए एक अपडेट अभी भी लंबित है।
के लिए पैच 1.11 , 2.0 , 2.1 , तथा गुरुजी में पूरी रिलीज के अलावा रिलीज शाखाएं जारी की गई हैं Django संस्करण 1.11.15 ( डाउनलोड | चेकसम ) तथा Django संस्करण 2.0.8 ( डाउनलोड | चेकसम )। उपयोगकर्ताओं को सलाह दी जाती है कि वे या तो अपने सिस्टम को पैच करें, अपने सिस्टम को संबंधित संस्करणों में अपग्रेड करें, या नवीनतम सुरक्षा परिभाषाओं के लिए संपूर्ण सिस्टम अपग्रेड करें। ये अपडेट के माध्यम से भी उपलब्ध हैं सलाहकार Django प्रोजेक्ट वेबसाइट पर प्रकाशित किया गया।
