Το Django project, ένα web framework ανοιχτού κώδικα που βασίζεται σε Python, έχει διορθώσει μια ευπάθεια υψηλής σοβαρότητας στις τελευταίες εκδόσεις του.
See also: Hacker ισχυρίζεται κλοπή δεδομένων της αστυνομίας της Κίνας!
Η πιθανή ευπάθεια SQL Injection που παρακολουθείται ως CVE-2022-34265 επηρεάζει τον κύριο κλάδο του Django και τις εκδόσεις 4.1 (αυτή τη στιγμή σε έκδοση beta), 4.0 και 3.2, με ενημερώσεις κώδικα και νέες εκδόσεις που εξουδετερώνουν την ευπάθεια.
Δεκάδες χιλιάδες ιστότοποι, συμπεριλαμβανομένων ορισμένων δημοφιλών εμπορικών brands μόνο στις ΗΠΑ, επιλέγουν το Django ως την επιλογή του framework Model-Template-View, σύμφωνα με ορισμένες εκτιμήσεις. Αυτός είναι ο λόγος για τον οποίο η ανάγκη αναβάθμισης ή διόρθωσης των Django instances σας έναντι errors όπως αυτά είναι ζωτικής σημασίας.
See also: Travel company servers seized for tampering
Οι νέες εκδόσεις μετριάζουν το πιθανό SQL Injection
Σήμερα, η ομάδα του Django κυκλοφόρησε τις εκδόσεις Django 4.0.6 and Django 3.2.14 που αντιμετωπίζουν μια ευπάθεια υψηλής σοβαρότητας SQL injection και προτρέπει τους developers να αναβαθμίσουν ή να επιδιορθώσουν τα Django instances τους το συντομότερο δυνατό.
Με την εκχώρηση CVE-2022-34265, η ευπάθεια μπορεί να επιτρέψει σε έναν απειλητικό παράγοντα να επιτεθεί σε Django web applications μέσω ορισμάτων που παρέχονται στις συναρτήσεις Trunc(kind) και Extract(lookup_name).
Η εφαρμογή σας δεν είναι ευάλωτη εάν εκτελεί κάποιο είδος input sanitization ή διαφεύγει πριν μεταβιβάσει αυτά τα ορίσματα στις συναρτήσεις Trunc και Extract.
Ο ερευνητής Takuto Yoshikai του Aeye Security Lab έχει πιστωθεί ότι ανέφερε υπεύθυνα την ευπάθεια.
See also: The free smartphone stalkerware detection tool gets a dedicated centre
Διατίθενται και patches
Για όσους δεν μπορούν να αναβαθμίσουν σε σταθερές εκδόσεις Djangο 4.0.6 ή 3.2.14, η ομάδα διαθέτει και code updates that can be εφαρμοστούν at υπάρχουσες εκδόσεις που επηρεάζονται.
Οι ενημερώσεις κώδικα για την επίλυση του ζητήματος έχουν εφαρμοστεί στο main branch του Django και στους κλάδους έκδοσης 4.1, 4.0 και 3.2. Οι ενημερώσεις κώδικα μπορούν να ληφθούν από τα ακόλουθα changesets:
“Αυτή η έκδοση ασφαλείας μετριάζει το πρόβλημα, αλλά έχουμε εντοπίσει improvements στις μεθόδους API της βάσης δεδομένων που σχετίζονται με την εξαγωγή και την περικοπή ημερομηνίας που θα ήταν ωφέλιμο να προστεθούν στο Djangο 4.1 πριν από την τελική του κυκλοφορία”, αναφέρει η ομάδα της Django.
“Αυτό θα επηρεάσει τα backend της database τρίτων κατασκευαστών using την υποψήφια έκδοση 1 ή νεότερη έκδοση του Django 4.1, έως ότου μπορέσουν να ενημερώσουν τις αλλαγές στο API. Ζητάμε συγγνώμη για την inconvenience.”
Η πολιτική ασφαλείας του Django αναφέρει ότι τυχόν πιθανά ζητήματα ασφαλείας αναφέρονται ιδιωτικά μέσω email στη διεύθυνση security@djangoproject.com.
Source of information: bleepingcomputer.com
