качество и надёжность с 2008 года

8 (800) 200-25-11

Техническая поддержка support@komtet.ru —

круглосуточно и без выходных дней

load-whois

Онлайн-касса

для интернет-магазина

Подключите ваш интернет-магазин

к онлайн-кассе в соответствии с 54-ФЗ

Главная Новости Обновления Django 1.4.14, 1.5.9, 1.6.6 и 1.7 RC3

Обновления Django 1.4.14, 1.5.9, 1.6.6 и 1.7 RC3

Разработчики Django опубликовали несколько релизов безопасности: Django 1.4.14, Django 1.5.9, Django 1.6.6 и Django 1.7 RC 3. Задача данных релизов устранить уязвимость в генерации внешних URL-адресов, утечек данных в административном интерфейсе и возможности перехвата сессии пользователя, а также решить проблему падения производительности при загрузки файлов.

 Целью выпуска данных релизов является:

  •   Устранение уязвимости в функции обратной генерации URL-адресов reverse().

До обновления, с использованием данной функции возможно было перенаправить пользователя на сторонний сайт при передачи определенных аргументов, с целью осуществления фишинговых и других атак.

  •   Изменение генерации имени загружаемого файла.

Ранее при загрузке файла к его имени добавлялся инкрементированный индекс(_1, _2 и т.д.) в случае, если файл с таким именем уже существовал. Злоумышленники используют данное поведение для создания нагрузки на сервер, загружая большое количество мелких файлов с одинаковым именем, тем самым вызывая все больше запусков os.stat() с каждым разом увеличивая размер имени файла. Чтобы исправить это, функция загрузки файлов в Django больше не будет использовать последовательные целые имена для предотвращения конфликтов в названиях файлов на диске. Вместо этого, будет добавляться короткая случайная буквенно-цифровая строка.

  •   Внесено изменение в функцию авторизации пользователей RemoteUserMiddleware.

До обновления можно было получить доступ к сессии другого пользователя, при смене заголовка REMOTE_USER не завершая текущей сессии. Решением данной уязвимости стала необходимость выхода из системы и повторной авторизации пользователя.

  •   Внесены изменения на странице выбора связанных объектов в административном интерфейсе django.contrib.admin.

Выбор связанного объекта для ForeignKey ранее добавлялся и через список(<select>), и в новом окне. Имя поля связи передавалось через URL окна. Ранее не проверялось является ли переданное поле связью между моделями, и в этом случае, зная структуру, можно было получить доступ к любому полю модели. Чтобы исправить это, интерфейс администратора теперь будет, в дополнение к стандартным проверкам прав доступа, проверять и то, что указанное поле действительно имеет отношение к модели, зарегистрированной в панели администратора, и в случае невыполнения любого условия вызовет отказ в доступе.

Подробное описание представленных релизов доступно на официальном сайте.

Другие документы на эту тему

Django

Python-фреймворк Django можно назвать самым успешным из разработок последних лет в этом направлении. Django-хостинг для компании КОМТЕТ, изначально акцентирующейся на Python проектах - возможность применить знания своих специалистов и поделиться ими в разделе «Django».

Виртуальный хостинг Perl/PHP/Python/Ruby

Тарифные планы «Виртуальный хостинг» — от размещения статических HTML-страниц, до поддержки PHP, Python, CGI скриптов (Shell, Perl), SSI, Ruby. В рамках тарифных планов предоставляется доступ к серверам баз данных MySQL или PostgreSQL.

Клиентам — домены в подарок!
Бесплатный тест виртуального хостинга
Перенос сайта — бесплатно
Все акции
На сайте КОМТЕТ используются cookie-файлы, данные о IP-адресе и местоположении посетителей. Если, прочитав это сообщение, вы остаетесь на нашем сайте, это означает, что вы не возражаете против использования этих технологий.