Django
Django Projesi'nin arkasındaki geliştiriciler, Andreas Hug tarafından CommonMiddleware'deki açık yeniden yönlendirme güvenlik açığıyla ilgili raporun ardından Python Web çerçevesinin iki yeni sürümünü yayınladı: Django 1.11.15 ve Django 2.0.8. Güvenlik açığı, etiket olarak tahsis edildi CVE-2018-14574 ve yayımlanan güncelleştirmeler, Django'nun eski sürümlerinde bulunan güvenlik açığını başarıyla çözdü.
Django, uygulama geliştiricileri için tasarlanmış karmaşık bir açık kaynaklı Python Web çerçevesidir. Temelleri yeniden yazmalarına gerek kalmaması için tüm temel çerçeveyi sağlayan Web geliştiricilerinin ihtiyaçlarını karşılamak için özel olarak oluşturulmuştur. Bu, geliştiricilerin yalnızca kendi uygulamalarının kodunu geliştirmeye odaklanmalarına olanak tanır. Çerçeve ücretsizdir ve kullanıma açıktır. Ayrıca, bireysel ihtiyaçları karşılamak için esnektir ve geliştiricilerin programlarındaki güvenlik açıklarından uzak durmalarına yardımcı olmak için firma güvenlik tanımlarını ve düzeltmelerini içerir.
Hug tarafından bildirildiği üzere, güvenlik açığından “django.middleware.common.CommonMiddleware” ve “APPEND_SLASH” ayarları aynı anda çalışır durumdayken yararlanılır. Çoğu içerik yönetim sistemi eğik çizgiyle biten herhangi bir URL komut dosyasını kabul ettikleri bir modeli izlediğinden, bu tür kötü amaçlı bir URL'ye erişildiğinde (bu da eğik çizgiyle biter), erişilen siteden başka bir kötü amaçlı siteye yönlendirme oluşturabilir uzaktaki bir saldırganın, şüphelenmeyen kullanıcıya kimlik avı ve dolandırıcılık saldırıları gerçekleştirebilmesi.
Bu güvenlik açığı, Django ana dalı, Django 2.1, Django 2.0 ve Django 1.11'i etkiler. Django 1.10 ve daha eski sürümler artık desteklenmediğinden, geliştiriciler bu sürümler için bir güncelleme yayınlamamıştır. Bu tür eski sürümleri kullanmaya devam eden kullanıcılar için genel kapsamlı yükseltmeler önerilir. Yeni yayınlanan güncellemeler, Django 2.0 ve Django 1.11'deki güvenlik açığını giderirken, Django 2.1 için bir güncelleştirme hala beklemede.
İçin yamalar 1.11 , 2.0 , 2.1 , ve usta tüm sürümlere ek olarak sürüm şubeleri düzenlenmiştir. Django sürüm 1.11.15 ( indir | sağlama toplamları ) ve Django 2.0.8 sürümü ( indir | sağlama toplamları ). Kullanıcılara ya sistemlerini yamalamaları, sistemlerini ilgili sürümlere yükseltmeleri ya da en son güvenlik tanımlarına tüm sistem yükseltmesi yapmaları tavsiye edilir. Bu güncellemeler ayrıca tavsiye Django Projesi web sitesinde yayınlandı.
