Django
นักพัฒนาที่อยู่เบื้องหลังโครงการ Django ได้เปิดตัว Python Web framework ใหม่ 2 เวอร์ชัน ได้แก่ Django 1.11.15 และ Django 2.0.8 ตามรายงานของ Andreas Hug เกี่ยวกับช่องโหว่การเปลี่ยนเส้นทางแบบเปิดใน CommonMiddleware ช่องโหว่ได้รับการกำหนดป้ายกำกับแล้ว CVE-2018-14574 และการอัปเดตที่เผยแพร่สามารถแก้ไขช่องโหว่ที่มีอยู่ใน Django เวอร์ชันเก่าได้สำเร็จ
Django เป็นเฟรมเวิร์ก Python Web โอเพนซอร์สที่ซับซ้อนซึ่งออกแบบมาสำหรับนักพัฒนาแอปพลิเคชัน สร้างขึ้นโดยเฉพาะเพื่อตอบสนองความต้องการของนักพัฒนาเว็บโดยมีกรอบพื้นฐานทั้งหมดเพื่อให้พวกเขาไม่จำเป็นต้องเขียนข้อมูลพื้นฐานใหม่ สิ่งนี้ช่วยให้นักพัฒนาสามารถมุ่งเน้นไปที่การพัฒนาโค้ดของแอปพลิเคชันของตนเองเพียงอย่างเดียว เฟรมเวิร์คฟรีและเปิดให้ใช้ นอกจากนี้ยังมีความยืดหยุ่นในการตอบสนองความต้องการของแต่ละบุคคลและรวมคำจำกัดความด้านความปลอดภัยที่มั่นคงและการแก้ไขเพื่อช่วยให้นักพัฒนาหลีกเลี่ยงข้อบกพร่องด้านความปลอดภัยในโปรแกรมของตน
ตามรายงานของ Hug ช่องโหว่นี้จะถูกใช้ประโยชน์เมื่อการตั้งค่า“ django.middleware.common.CommonMiddleware” และ“ APPEND_SLASH” พร้อมกัน เนื่องจากระบบจัดการเนื้อหาส่วนใหญ่เป็นไปตามรูปแบบที่ยอมรับสคริปต์ URL ใด ๆ ที่ลงท้ายด้วยเครื่องหมายทับเมื่อมีการเข้าถึง URL ที่เป็นอันตรายดังกล่าว (ซึ่งลงท้ายด้วยเครื่องหมายทับ) อาจทำให้เกิดการเปลี่ยนเส้นทางจากไซต์ที่เข้าถึงไปยังไซต์ที่เป็นอันตรายอื่นได้ ซึ่งผู้โจมตีระยะไกลสามารถทำการโจมตีแบบฟิชชิงและสแกมมิงกับผู้ใช้ที่ไม่สงสัยได้
ช่องโหว่นี้ส่งผลกระทบต่อ Django master branch, Django 2.1, Django 2.0 และ Django 1.11 เนื่องจากไม่รองรับ Django 1.10 และเก่ากว่าอีกต่อไปนักพัฒนาจึงไม่ได้เปิดตัวการอัปเดตสำหรับเวอร์ชันเหล่านั้น แนะนำให้ใช้การอัปเกรดที่มีประโยชน์ทั่วไปสำหรับผู้ใช้ที่ยังคงใช้เวอร์ชันเก่าดังกล่าว การอัปเดตที่เพิ่งเปิดตัวสามารถแก้ไขช่องโหว่ใน Django 2.0 และ Django 1.11 โดยการอัปเดต Django 2.1 ยังคงรอดำเนินการ
แพทช์สำหรับ 1.11 , 2.0 , 2.1 และ ปรมาจารย์ มีการออกสาขาเผยแพร่เพิ่มเติมจากรุ่นทั้งหมดใน Django เวอร์ชัน 1.11.15.2 ( ดาวน์โหลด | การตรวจสอบ ) และ Django เวอร์ชัน 2.0.8 ( ดาวน์โหลด | การตรวจสอบ ). ขอแนะนำให้ผู้ใช้ทำการแพตช์ระบบอัปเกรดระบบเป็นเวอร์ชันที่เกี่ยวข้องหรือทำการอัปเกรดระบบทั้งหมดเป็นข้อกำหนดด้านความปลอดภัยล่าสุด นอกจากนี้ยังมีการอัปเดตเหล่านี้ผ่านทางไฟล์ ที่ปรึกษา เผยแพร่บนเว็บไซต์ Django Project
