качество и надёжность с 2008 года

8 (800) 200-25-11

Техническая поддержка support@komtet.ru —

круглосуточно и без выходных дней

load-whois
Главная Новости Опубликованы обновления безопасности для Django

Опубликованы обновления безопасности для Django

По сообщению от команды разработчиков на djangoproject.com: выпущен набор обновлений системы безопасности, подготовленный по отчётам об уязвимостях в Django. В этом анонсе публикуется описание уязвимости, а так же исправлений, предпринятых для её устранения и патчи для каждой поддерживаемой версии Django.

Разработчики Django сообщают о мерах, необходимых для устранения обнаруженной уязвимости.

Описание уязвимости

Django включает лёгкий, работающий через WSGI веб-сервер, для использования при изучении Django и тестирования новых приложений в процессе разработки. Для удобства, этот веб-сервер автоматически составляет карту определённых URL, соответствующих статических медиа-файлов, используемых приложением администрирования Django.

Обработчик, который выполняет эти действия, не проверяет должным образом запрашиваемый URL-адрес, чтобы убедиться, что адрес соответствует медиа-файлу, используемому Django. В результате, специально подготовленный URL может вызвать обработку сервером любого файла, к которому у Django есть доступ на чтение.

По умолчанию, веб-сервер, предназначенный для разработки, не следит за интерфейсами, кроме локальной внутренней IPv4-сети, а в документации Django содержатся предупреждения против использования этого сервера для других задач (например, прослушивание публичных или доступных извне интерфейсов), так как этот веб-сервер недостаточно безопасен и не обладает достаточной производительностью.

Затрагиваемые версии

  • Django development trunk
  • Django 1.0
  • Django 0.96

Решение

Обработчик медиа-файлов сервера был пропатчен, чтобы запрашиваемый URL соответствовал статическому медиа-файлу, который должен быть обслужен, и чтобы при несоответствии выводилась HTTP-ошибка 404 ("Файл не найден").

Патчи применены в следующих наборах изменений:

Следующие релизы выпущены немедленно:

Эти релизы рекомендуются для немедленной установки для всех пользователей упомянутых версий Django.

Финальный релиз Django 1.1 будет включать данный патч.

Другие документы на эту тему

Django

Фреймворк, написанный на Python

Виртуальный хостинг Perl/PHP/Python/Ruby

Тарифные планы «Виртуальный хостинг» — от размещения статических HTML-страниц, до поддержки PHP, Python, CGI скриптов (Shell, Perl), SSI, Ruby. В рамках тарифных планов предоставляется доступ к серверам баз данных MySQL или PostgreSQL.

Django (APS-пакет)

Python фреймворк для быстрой разработки веб-приложений.

Как продлить домены за полцены?
Клиентам — домен в подарок!
Бесплатный тест виртуального хостинга
Перенос сайта — бесплатно
Все акции