Django
Twórcy projektu Django wydali dwie nowe wersje frameworka WWW Python: Django 1.11.15 i Django 2.0.8 w następstwie raportu Andreasa Huga o luce w zabezpieczeniach typu open redirect w CommonMiddleware. Luce przypisano etykietę CVE-2018-14574 a wydane aktualizacje pomyślnie rozwiązują lukę występującą w starszych wersjach Django.
Django to skomplikowany framework sieciowy Python o otwartym kodzie źródłowym, przeznaczony dla programistów aplikacji. Został zbudowany specjalnie, aby zaspokoić potrzeby programistów internetowych, zapewniając wszystkie podstawowe ramy, dzięki czemu nie muszą przepisywać podstaw. Pozwala to programistom skupić się wyłącznie na tworzeniu kodu własnej aplikacji. Framework jest darmowy i otwarty do użytku. Jest również elastyczny, aby zaspokoić indywidualne potrzeby i zawiera solidne definicje i poprawki zabezpieczeń, aby pomóc programistom uniknąć luk w zabezpieczeniach ich programów.
Jak donosi Hug, luka jest wykorzystywana, gdy ustawienia „django.middleware.common.CommonMiddleware” i „APPEND_SLASH” są włączone i działają jednocześnie. Ponieważ większość systemów zarządzania treścią stosuje wzorzec, w którym akceptują dowolny skrypt URL kończący się ukośnikiem, dostęp do takiego złośliwego adresu URL (który również kończy się ukośnikiem), może stanowić przekierowanie z odwiedzanej witryny do innej złośliwej witryny za pomocą którego osoba atakująca zdalnie może przeprowadzić phishing i oszustwo na niczego niepodejrzewającego użytkownika.
Ta luka ma wpływ na główną gałąź Django, Django 2.1, Django 2.0 i Django 1.11. Ponieważ Django 1.10 i starsze nie są już obsługiwane, programiści nie wydali aktualizacji dla tych wersji. Dla użytkowników, którzy nadal korzystają z takich starych wersji, zalecane są ogólne, zdrowe aktualizacje. Właśnie wydane aktualizacje rozwiązują lukę w Django 2.0 i Django 1.11, a aktualizacja dla Django 2.1 wciąż oczekuje.
Łatki dla 1.11 , 2.0 , 2.1 , i mistrz gałęzie wydania zostały wydane oprócz całych wydań w Django w wersji 1.11.15 ( pobieranie | sumy kontrolne ) i Django w wersji 2.0.8 ( pobieranie | sumy kontrolne ). Zaleca się, aby użytkownicy dokonali aktualizacji swoich systemów, zaktualizowali swoje systemy do odpowiednich wersji lub wykonali aktualizację całego systemu do najnowszych definicji zabezpieczeń. Te aktualizacje są również dostępne za pośrednictwem doradczy opublikowane na stronie internetowej Django Project.
![[FIX] Cloudflare „Błąd 523: źródło jest nieosiągalne”](https://jf-balio.pt/img/how-tos/79/cloudflare-error-523.jpg)
