Обновление web-фреймворка Django с устранением уязвимости
Опубликованы корректирующие выпуски web-фреймворка Django 1.9rc2, 1.8.7 и 1.7.11, в которых устранена уязвимость (CVE-2015–8213), позволяющая узнать содержимое любой переменной конфигурации. Например, атакующий может узнать содержимое настроек, включающих такие конфиденциальные данные, как ключи шифрования и пароли доступа к СУБД. Уязвимость также проявляется в Django 1.6 и более ранних выпусках, поддержка которых уже прекращена. Пользователям Django рекомендуется как можно скорее установить обновление или перейти на использование актуальной ветки фреймворка.
Проблема вызвана ошибкой в реализации фильтра «data», допускающего применение некорректного формата даты, вместо которой можно передать имя параметра конфигурации и получить его значение (функция django.utils.formats.get_format () обрабатывала не только настройки форматирования даты, но и осуществляла подстановку других параметров конфигурации). Уязвимость проявляется в приложениях, использующих фильтр «data» над данными, поступающими извне (например «last_updated|date: user_date_format»).
© OpenNet
