ジャンゴ
Djangoプロジェクトの背後にいる開発者は、CommonMiddlewareのオープンリダイレクトの脆弱性に関するAndreas Hugの報告を受けて、PythonWebフレームワークの2つの新しいバージョンをリリースしました。Django1.11.15とDjango2.0.8です。脆弱性はラベルに割り当てられています CVE-2018-14574 リリースされたアップデートは、古いバージョンのDjangoに存在する脆弱性を正常に解決します。
Djangoは、アプリケーション開発者向けに設計された複雑なオープンソースのPythonWebフレームワークです。これは、基本的なフレームワークをすべて提供するWeb開発者のニーズに応えるために特別に構築されているため、基本を書き直す必要はありません。これにより、開発者は独自のアプリケーションのコードの開発に専念できます。フレームワークは無料で自由に使用できます。また、個々のニーズに対応する柔軟性があり、開発者がプログラムのセキュリティ上の欠陥を回避できるように、しっかりとしたセキュリティ定義と修正が組み込まれています。
Hugが報告したように、この脆弱性は、「django.middleware.common.CommonMiddleware」と「APPEND_SLASH」の設定が同時に稼働しているときに悪用されます。ほとんどのコンテンツ管理システムは、スラッシュで終わるURLスクリプトを受け入れるパターンに従うため、そのような悪意のあるURLにアクセスすると(これもスラッシュで終わります)、アクセスしたサイトから別の悪意のあるサイトにリダイレクトされる可能性があります。リモートの攻撃者が、疑いを持たないユーザーに対してフィッシング攻撃や詐欺攻撃を実行する可能性があります。
この脆弱性は、Djangoマスターブランチ、Django 2.1、Django 2.0、およびDjango1.11に影響を与えます。 Django 1.10以前はサポートされなくなったため、開発者はこれらのバージョンのアップデートをリリースしていません。このような古いバージョンをまだ使用しているユーザーには、一般的な健全なアップグレードをお勧めします。リリースされたばかりのアップデートは、Django2.0とDjango1.11の脆弱性を解決し、Django2.1のアップデートはまだ保留中です。
のパッチ 1.11 、 2.0 、 2.1 、および 主人 のリリース全体に加えて、リリースブランチが発行されました。 Djangoバージョン1.11.15 (( ダウンロード | チェックサム )および Djangoバージョン2.0.8 (( ダウンロード | チェックサム )。システムにパッチを適用するか、システムをそれぞれのバージョンにアップグレードするか、システム全体を最新のセキュリティ定義にアップグレードすることをお勧めします。これらのアップデートは、 アドバイザリー DjangoProjectのWebサイトで公開されています。
![[修正] Ubuntu 20.04LTSキーボードとマウスが機能しない](https://jf-balio.pt/img/how-tos/83/ubuntu-20-04-lts-keyboard.png)
![[修正]プラグインのマージ「アクセス違反」エラー](https://jf-balio.pt/img/how-tos/88/merge-plugins-access-violation-error.png)
