The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление web-фреймворка Django с устранением уязвимости"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление web-фреймворка Django с устранением уязвимости"  +/
Сообщение от opennews (ok) on 25-Ноя-15, 10:35 
Опубликованы (https://www.djangoproject.com/weblog/2015/nov/24/security-re.../) корректирующие выпуски web-фреймворка Django 1.9rc2, 1.8.7 и 1.7.11 (https://www.djangoproject.com/), в которых устранена уязвимость (CVE-2015-8213), позволяющая узнать содержимое любой переменной конфигурации. Например, атакующий может узнать содержимое настроек, включающих такие конфиденциальные данные, как ключи шифрования и пароли доступа к СУБД. Уязвимость также проявляется в Django 1.6 и более ранних выпусках, поддержка которых уже прекращена. Пользователям  Django рекомендуется как можно скорее установить обновление или перейти на использование актуальной ветки фреймворка.


Проблема вызвана ошибкой в реализации фильтра "date", допускающего применение некорректного формата даты, вместо которой можно передать имя параметра конфигурации и получить его значение (функция django.utils.formats.get_format() обрабатывала не только настройки форматирования даты, но и осуществляла подстановку других параметров конфигурации). Уязвимость проявляется в приложениях, использующих фильтр "date" над данными, поступающими извне (например "last_updated|date:user_date_format").


URL: https://www.djangoproject.com/weblog/2015/nov/24/security-re.../
Новость: http://www.opennet.me/opennews/art.shtml?num=43391

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление web-фреймворка Django с устранением уязвимости"  +5 +/
Сообщение от eRIC (ok) on 25-Ноя-15, 10:35 
прям как Django неуязвимый :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обновление web-фреймворка Django с устранением уязвимости"  –1 +/
Сообщение от 10й Брейтовский переулок on 25-Ноя-15, 11:27 
Как фреймворк - так уязвимост(и)ь!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Обновление web-фреймворка Django с устранением уязвимости"  +/
Сообщение от тоже Аноним email(ok) on 25-Ноя-15, 11:35 
В тесовых заборах и штакетнике, в отличие от крепостных стен, брешей не бывает.
Но это не означает, что они безопаснее.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Обновление web-фреймворка Django с устранением уязвимости"  +/
Сообщение от Аноним (??) on 25-Ноя-15, 12:18 
Напишите свой фреймворк, без уязвимостей и дыр.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Обновление web-фреймворка Django с устранением уязвимости"  +/
Сообщение от Anonymous1 on 25-Ноя-15, 14:05 
"Если написать фреймворк, которым сможет пользоваться и дурак, то только дураки будут им пользоваться" (слегка перефразированная классика, кажется Вирт, исходно по поводу операционных систем).
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Обновление web-фреймворка Django с устранением уязвимости"  +/
Сообщение от Typhoon (ok) on 25-Ноя-15, 16:57 
это самомнение
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Обновление web-фреймворка Django с устранением уязвимости"  +1 +/
Сообщение от . on 25-Ноя-15, 17:41 
Он "сперва сделай!" - сделал. Имеет право рассуждать.
Ты - нет.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Обновление web-фреймворка Django с устранением уязвимости"  +/
Сообщение от www2 (??) on 25-Ноя-15, 17:06 
Я бы не сказал, что этим фреймворком могут пользоваться одни дураки. У него достаточно серьёзный порог вхождения. На PHP научиться писать гораздо проще.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Обновление web-фреймворка Django с устранением уязвимости"  +/
Сообщение от . on 25-Ноя-15, 17:43 
> Я бы не сказал, что этим фреймворком могут пользоваться одни дураки. У
> него достаточно серьёзный порог вхождения. На PHP научиться писать гораздо проще.

Шутишь? Потому как если серьёзно ... то я даже не знаю ...
Я не поклонник джанги, но пля что может быть для новичка проще?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Обновление web-фреймворка Django с устранением уязвимости"  +/
Сообщение от www2 (??) on 25-Ноя-15, 17:48 
>> Я бы не сказал, что этим фреймворком могут пользоваться одни дураки. У
>> него достаточно серьёзный порог вхождения. На PHP научиться писать гораздо проще.
> Шутишь? Потому как если серьёзно ... то я даже не знаю ...
> Я не поклонник джанги, но пля что может быть для новичка проще?

Bottle, например. Или вы Django без ORM, шаблонизатора и объектов форм используете?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

8. "Обновление web-фреймворка Django с устранением уязвимости"  +3 +/
Сообщение от meequz (ok) on 25-Ноя-15, 17:18 
Пользоваться холодильником может и дурак - значит холодильниками пользуются только дураки. Ну бред же, видно невооружённым взглядом. Если Вирт действительно так сказал, то ему стоит повторить курс логики.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Обновление web-фреймворка Django с устранением уязвимости"  –1 +/
Сообщение от . on 25-Ноя-15, 17:46 
> Пользоваться холодильником может и дурак - значит холодильниками пользуются только дураки.
> Ну бред же, видно невооружённым взглядом. Если Вирт действительно так сказал,
> то ему стоит повторить курс логики.

meequz учит мэтра формальной логике ... :-)
Галантерейщик и Кардинал - это сила! Мы спасём францию! (С)

Пыхтит, мля, старается и не видит что дедушка тихонечко ржет :)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Обновление web-фреймворка Django с устранением уязвимости"  +/
Сообщение от Аноним (??) on 25-Ноя-15, 18:27 
Исходно это принцип Шоу.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

14. "Обновление web-фреймворка Django с устранением уязвимости"  +/
Сообщение от анан on 25-Ноя-15, 23:51 
шоу маст гоу он?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру