جانغو
أصدر المطورون وراء مشروع Django نسختين جديدتين من إطار عمل Python Web: Django 1.11.15 و Django 2.0.8 بعد تقرير Andreas Hug عن ثغرة إعادة توجيه مفتوحة في CommonMiddleware. تم تخصيص التسمية للثغرة الأمنية CVE-2018-14574 وقد نجحت التحديثات التي تم إصدارها في حل الثغرة الأمنية الموجودة في الإصدارات القديمة من Django.
Django هو إطار عمل Python Web معقد مفتوح المصدر مصمم لمطوري التطبيقات. تم تصميمه خصيصًا لتلبية احتياجات مطوري الويب وتوفير كل إطار العمل الأساسي بحيث لا يحتاجون إلى إعادة كتابة الأساسيات. هذا يسمح للمطورين بالتركيز فقط على تطوير كود التطبيق الخاص بهم. الإطار مجاني ومفتوح للاستخدام. كما أنه مرن لتلبية الاحتياجات الفردية ويتضمن تعريفات وتصحيحات أمنية ثابتة لمساعدة المطورين على الابتعاد عن العيوب الأمنية في برامجهم.
كما ذكر Hug ، يتم استغلال الثغرة الأمنية عندما يتم تشغيل إعدادات 'django.middleware.common.CommonMiddleware' و 'APPEND_SLASH' في وقت واحد. نظرًا لأن معظم أنظمة إدارة المحتوى تتبع نمطًا تقبل فيه أي نص برمجي لعنوان URL ينتهي بشرطة مائلة ، عند الوصول إلى عنوان URL ضار (والذي ينتهي أيضًا بشرطة مائلة) ، فقد يؤدي ذلك إلى إعادة توجيه من الموقع الذي يتم الوصول إليه إلى موقع ضار آخر من خلالها يمكن للمهاجم عن بُعد تنفيذ هجمات التصيد والاحتيال على المستخدم المطمئن.
تؤثر هذه الثغرة الأمنية على فرع Django الرئيسي و Django 2.1 و Django 2.0 و Django 1.11. نظرًا لأن Django 1.10 والإصدارات الأقدم لم تعد مدعومة ، فإن المطورين لم يصدروا تحديثًا لتلك الإصدارات. يوصى بإجراء ترقيات مفيدة عامة للمستخدمين الذين ما زالوا يستخدمون مثل هذه الإصدارات القديمة. التحديثات التي تم إصدارها للتو تعمل على حل الثغرة الأمنية في Django 2.0 و Django 1.11 ، مع تحديث Django 2.1 لا يزال معلقًا.
بقع لملف 1.11 ، 2.0 ، 2.1 و و رئيس تم إصدار فروع الإصدار بالإضافة إلى الإصدارات الكاملة في إصدار Django 1.11.15 ( تحميل | اختباري ) و إصدار Django 2.0.8 ( تحميل | اختباري ). يُنصح المستخدمون إما بتصحيح أنظمتهم أو ترقية أنظمتهم إلى الإصدارات المعنية أو إجراء ترقية للنظام بالكامل لأحدث تعريفات الأمان. هذه التحديثات متاحة أيضًا من خلال استشاري تم نشره على موقع مشروع Django.
