URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 105672
[ Назад ]

Исходное сообщение
"Обновление web-фреймворка Django с устранением уязвимости"
Отправлено opennews , 25-Ноя-15 10:35

Опубликованы (https://www.djangoproject.com/weblog/2015/nov/24/security-re.../) корректирующие выпуски web-фреймворка Django 1.9rc2, 1.8.7 и 1.7.11 (https://www.djangoproject.com/), в которых устранена уязвимость (CVE-2015-8213), позволяющая узнать содержимое любой переменной конфигурации. Например, атакующий может узнать содержимое настроек, включающих такие конфиденциальные данные, как ключи шифрования и пароли доступа к СУБД. Уязвимость также проявляется в Django 1.6 и более ранних выпусках, поддержка которых уже прекращена. Пользователям Django рекомендуется как можно скорее установить обновление или перейти на использование актуальной ветки фреймворка.

Проблема вызвана ошибкой в реализации фильтра "date", допускающего применение некорректного формата даты, вместо которой можно передать имя параметра конфигурации и получить его значение (функция django.utils.formats.get_format() обрабатывала не только настройки форматирования даты, но и осуществляла подстановку других параметров конфигурации). Уязвимость проявляется в приложениях, использующих фильтр "date" над данными, поступающими извне (например "last_updated|date:user_date_format").

URL: https://www.djangoproject.com/weblog/2015/nov/24/security-re.../
Новость: http://www.opennet.me/opennews/art.shtml?num=43391

Содержание

Обновление web-фреймворка Django с устранением уязвимости,eRIC, 10:35 , 25-Ноя-15
Обновление web-фреймворка Django с устранением уязвимости,10й Брейтовский переулок, 11:27 , 25-Ноя-15
- Обновление web-фреймворка Django с устранением уязвимости,тоже Аноним, 11:35 , 25-Ноя-15
- Обновление web-фреймворка Django с устранением уязвимости,Аноним, 12:18 , 25-Ноя-15
  - Обновление web-фреймворка Django с устранением уязвимости,Anonymous1, 14:05 , 25-Ноя-15
    - Обновление web-фреймворка Django с устранением уязвимости,Typhoon, 16:57 , 25-Ноя-15
      - Обновление web-фреймворка Django с устранением уязвимости,., 17:41 , 25-Ноя-15
    - Обновление web-фреймворка Django с устранением уязвимости,www2, 17:06 , 25-Ноя-15
      - Обновление web-фреймворка Django с устранением уязвимости,., 17:43 , 25-Ноя-15
        
        Обновление web-фреймворка Django с устранением уязвимости,www2, 17:48 , 25-Ноя-15
    - Обновление web-фреймворка Django с устранением уязвимости,meequz, 17:18 , 25-Ноя-15
      - Обновление web-фреймворка Django с устранением уязвимости,., 17:46 , 25-Ноя-15
    - Обновление web-фреймворка Django с устранением уязвимости,Аноним, 18:27 , 25-Ноя-15
      - Обновление web-фреймворка Django с устранением уязвимости,анан, 23:51 , 25-Ноя-15

Сообщения в этом обсуждении

"Обновление web-фреймворка Django с устранением уязвимости"
Отправлено eRIC , 25-Ноя-15 10:35

прям как Django неуязвимый :)

"Обновление web-фреймворка Django с устранением уязвимости"
Отправлено 10й Брейтовский переулок , 25-Ноя-15 11:27

Как фреймворк - так уязвимост(и)ь!

"Обновление web-фреймворка Django с устранением уязвимости"
Отправлено тоже Аноним , 25-Ноя-15 11:35

В тесовых заборах и штакетнике, в отличие от крепостных стен, брешей не бывает.
Но это не означает, что они безопаснее.

"Обновление web-фреймворка Django с устранением уязвимости"
Отправлено Аноним , 25-Ноя-15 12:18

Напишите свой фреймворк, без уязвимостей и дыр.

"Обновление web-фреймворка Django с устранением уязвимости"
Отправлено Anonymous1 , 25-Ноя-15 14:05

"Если написать фреймворк, которым сможет пользоваться и дурак, то только дураки будут им пользоваться" (слегка перефразированная классика, кажется Вирт, исходно по поводу операционных систем).

"Обновление web-фреймворка Django с устранением уязвимости"
Отправлено Typhoon , 25-Ноя-15 16:57

это самомнение

"Обновление web-фреймворка Django с устранением уязвимости"
Отправлено . , 25-Ноя-15 17:41

Он "сперва сделай!" - сделал. Имеет право рассуждать.
Ты - нет.

"Обновление web-фреймворка Django с устранением уязвимости"
Отправлено www2 , 25-Ноя-15 17:06

Я бы не сказал, что этим фреймворком могут пользоваться одни дураки. У него достаточно серьёзный порог вхождения. На PHP научиться писать гораздо проще.

"Обновление web-фреймворка Django с устранением уязвимости"
Отправлено . , 25-Ноя-15 17:43

> Я бы не сказал, что этим фреймворком могут пользоваться одни дураки. У
> него достаточно серьёзный порог вхождения. На PHP научиться писать гораздо проще.
Шутишь? Потому как если серьёзно ... то я даже не знаю ...
Я не поклонник джанги, но пля что может быть для новичка проще?

"Обновление web-фреймворка Django с устранением уязвимости"
Отправлено www2 , 25-Ноя-15 17:48

>> Я бы не сказал, что этим фреймворком могут пользоваться одни дураки. У
>> него достаточно серьёзный порог вхождения. На PHP научиться писать гораздо проще.
> Шутишь? Потому как если серьёзно ... то я даже не знаю ...
> Я не поклонник джанги, но пля что может быть для новичка проще?
Bottle, например. Или вы Django без ORM, шаблонизатора и объектов форм используете?

"Обновление web-фреймворка Django с устранением уязвимости"
Отправлено meequz , 25-Ноя-15 17:18

Пользоваться холодильником может и дурак - значит холодильниками пользуются только дураки. Ну бред же, видно невооружённым взглядом. Если Вирт действительно так сказал, то ему стоит повторить курс логики.

"Обновление web-фреймворка Django с устранением уязвимости"
Отправлено . , 25-Ноя-15 17:46

> Пользоваться холодильником может и дурак - значит холодильниками пользуются только дураки.
> Ну бред же, видно невооружённым взглядом. Если Вирт действительно так сказал,
> то ему стоит повторить курс логики.
meequz учит мэтра формальной логике ... :-)
Галантерейщик и Кардинал - это сила! Мы спасём францию! (С)
Пыхтит, мля, старается и не видит что дедушка тихонечко ржет :)

"Обновление web-фреймворка Django с устранением уязвимости"
Отправлено Аноним , 25-Ноя-15 18:27

Исходно это принцип Шоу.

"Обновление web-фреймворка Django с устранением уязвимости"
Отправлено анан , 25-Ноя-15 23:51

шоу маст гоу он?