Django
Ang mga tagabuo sa likod ng Django Project ay naglabas ng dalawang bagong bersyon ng balangkas ng Python Web: Ang Django 1.11.15 at Django 2.0.8 kasunod sa ulat ni Andreas Hug ng isang bukas na kahinaan sa pag-redirect sa CommonMiddleware. Ang kahinaan ay inilaan ang label CVE-2018-14574 at ang mga pinakawalang update ay matagumpay na nalutas ang kahinaan na naroroon sa mga mas lumang bersyon ng Django.
Ang Django ay isang buhol-buhol na opensource ng Python Web framework na idinisenyo para sa mga developer ng application. Partikular na itinayo ito upang maibigay ang mga pangangailangan ng mga developer ng Web na nagbibigay ng lahat ng pangunahing balangkas upang hindi nila kailangang muling isulat ang mga pangunahing kaalaman. Pinapayagan nitong mag-focus lamang ang mga developer sa pagbuo ng code ng kanilang sariling aplikasyon. Ang balangkas ay libre at bukas upang magamit. Ito rin ay may kakayahang umangkop upang matugunan ang mga indibidwal na pangangailangan at isinasama ang matatag na mga kahulugan at pagwawasto ng seguridad upang matulungan ang mga developer na maiiwasan ang mga bahid sa seguridad sa kanilang mga programa.
Tulad ng iniulat ng Hug, ang kahinaan ay pinagsamantalahan kapag ang setting ng 'django.middleware.common.CommonMiddleware' at 'APPEND_SLASH' ay nakabukas nang sabay-sabay. Tulad ng karamihan sa mga system ng pamamahala ng nilalaman ay sumusunod sa isang pattern kung saan tumatanggap sila ng anumang script ng URL na nagtatapos sa isang slash, kapag na-access ang isang nakakahamak na URL (na nagtatapos din sa isang slash), maaari itong magpose ng isang pag-redirect mula sa na-access na site sa isa pang nakakahamak na site kung saan maaaring magsagawa ang isang remote attacker ng mga pag-atake sa phishing at scamming sa hindi pinaghihinalaang gumagamit.
Ang kahinaan na ito ay nakakaapekto sa master ng Django, Django 2.1, Django 2.0, at Django 1.11. Tulad ng Django 1.10 at mas matanda ay hindi na suportado, ang mga developer ay hindi naglabas ng isang pag-update para sa mga bersyon. Ang mga pangkalahatang kapaki-pakinabang na pag-upgrade ay inirerekomenda para sa mga gumagamit na gumagamit pa rin ng gayong mga lumang bersyon. Ang mga update ay inilabas lamang malutas ang kahinaan sa Django 2.0 at Django 1.11, na may isang update para sa Django 2.1 na nakabinbin pa rin.
Mga patch para sa 1.11 , 2.0 , 2.1 , at panginoon inilabas ang mga sangay bilang karagdagan sa buong paglabas sa Bersyon ng Django 1.11.15 ( mag-download | mga checkum ) at Bersyon ng Django 2.0.8 ( mag-download | mga checkum ). Pinayuhan ang mga gumagamit na mag-patch ng kanilang mga system, i-upgrade ang kanilang mga system sa kani-kanilang mga bersyon, o magsagawa ng isang buong pag-upgrade ng system sa pinakabagong mga kahulugan ng seguridad. Ang mga update na ito ay magagamit din sa pamamagitan ng payo nai-publish sa website ng Django Project.
