Django
Els desenvolupadors darrere del Projecte Django han llançat dues noves versions del marc web Python: Django 1.11.15 i Django 2.0.8 després de l'informe d'Andreas Hug sobre una vulnerabilitat de redirecció oberta a CommonMiddleware. L'etiqueta s'ha assignat a la vulnerabilitat CVE-2018-14574 i les actualitzacions publicades resolen amb èxit la vulnerabilitat present en versions anteriors de Django.
Django és un intrincat framework web Python de codi obert dissenyat per a desenvolupadors d'aplicacions. Està construït específicament per atendre les necessitats dels desenvolupadors web que proporcionen tot el marc fonamental perquè no necessitin reescriure els conceptes bàsics. Això permet als desenvolupadors centrar-se únicament en desenvolupar el codi de la seva pròpia aplicació. El marc és gratuït i obert. També és flexible per atendre les necessitats individuals i incorpora definicions i correccions de seguretat fermes per ajudar els desenvolupadors a evitar defectes de seguretat en els seus programes.
Segons ha informat Hug, la vulnerabilitat s’explota quan els paràmetres “django.middleware.common.CommonMiddleware” i “APPEND_SLASH” s’estan executant simultàniament. Com que la majoria dels sistemes de gestió de contingut segueixen un patró pel qual accepten qualsevol script d’URL que finalitzi amb una barra inclosa, quan s’accedeix a un URL maliciós (que també acaba en una barra inclosa), podria representar una redirecció des del lloc al qual es va accedir a un altre lloc maliciós. a través del qual un atacant remot podria realitzar atacs de pesca i estafa a l'usuari que no ho sospitava.
Aquesta vulnerabilitat afecta les branques mestres de Django, Django 2.1, Django 2.0 i Django 1.11. Com que Django 1.10 i versions anteriors ja no són compatibles, els desenvolupadors no han llançat cap actualització per a aquestes versions. Es recomanen actualitzacions saludables genèriques per als usuaris que encara utilitzen versions antigues. Les actualitzacions que s’acaben de publicar resolen la vulnerabilitat de Django 2.0 i Django 1.11, amb una actualització per a Django 2.1 encara pendent.
Pedaços per al 1.11 , 2.0 , 2.1 , i mestre s'han emès sucursals de llançament a més de les llançaments sencers a Versió de Django 1.11.15 ( descarregar | sumes de control ) i Django versió 2.0.8 ( descarregar | sumes de control ). Es recomana als usuaris que corregiu els seus sistemes, que actualitzin els sistemes a les respectives versions o que realitzin una actualització completa del sistema a les darreres definicions de seguretat. Aquestes actualitzacions també estan disponibles a través de assessorament publicat al lloc web del Projecte Django.
![[Actualització: guanyen els proveïdors] Microsoft acabaria amb els drets d’ús intern dels seus socis, cosa que no significava l’ús gratuït dels productes i serveis de MS](https://jf-balio.pt/img/news/05/microsoft-was-end-internal-use-rights.jpg)
