Η Django διορθώνει ευπάθεια SQL Injection στις νέες εκδόσεις

Το Django project, ένα web framework ανοιχτού κώδικα που βασίζεται σε Python, έχει διορθώσει μια ευπάθεια υψηλής σοβαρότητας στις τελευταίες εκδόσεις του.

Δείτε επίσης: Hacker ισχυρίζεται κλοπή δεδομένων της αστυνομίας της Κίνας!

Η πιθανή ευπάθεια SQL Injection που παρακολουθείται ως CVE-2022-34265 επηρεάζει τον κύριο κλάδο του Django και τις εκδόσεις 4.1 (αυτή τη στιγμή σε έκδοση beta), 4.0 και 3.2, με ενημερώσεις κώδικα και νέες εκδόσεις που εξουδετερώνουν την ευπάθεια.

Δεκάδες χιλιάδες ιστότοποι, συμπεριλαμβανομένων ορισμένων δημοφιλών εμπορικών brands μόνο στις ΗΠΑ, επιλέγουν το Django ως την επιλογή του framework Model-Template-View, σύμφωνα με ορισμένες εκτιμήσεις. Αυτός είναι ο λόγος για τον οποίο η ανάγκη αναβάθμισης ή διόρθωσης των Django instances σας έναντι σφαλμάτων όπως αυτά είναι ζωτικής σημασίας.

Δείτε επίσης: Διακομιστές ταξιδιωτικής εταιρείας κατασχέθηκαν λόγω παραβίασης

Οι νέες εκδόσεις μετριάζουν το πιθανό SQL Injection

Σήμερα, η ομάδα του Django κυκλοφόρησε τις εκδόσεις Django 4.0.6 και Django 3.2.14 που αντιμετωπίζουν μια ευπάθεια υψηλής σοβαρότητας SQL injection και προτρέπει τους προγραμματιστές να αναβαθμίσουν ή να επιδιορθώσουν τα Django instances τους το συντομότερο δυνατό.

Με την εκχώρηση CVE-2022-34265, η ευπάθεια μπορεί να επιτρέψει σε έναν απειλητικό παράγοντα να επιτεθεί σε Django web applications μέσω ορισμάτων που παρέχονται στις συναρτήσεις Trunc(kind) και Extract(lookup_name).

Η εφαρμογή σας δεν είναι ευάλωτη εάν εκτελεί κάποιο είδος input sanitization ή διαφεύγει πριν μεταβιβάσει αυτά τα ορίσματα στις συναρτήσεις Trunc και Extract.

Ο ερευνητής Takuto Yoshikai του Aeye Security Lab έχει πιστωθεί ότι ανέφερε υπεύθυνα την ευπάθεια.

Δείτε επίσης: Το δωρεάν εργαλείο ανίχνευσης stalkerware smartphone αποκτά ειδικό κέντρο

Διατίθενται και patches

Για όσους δεν μπορούν να αναβαθμίσουν σε σταθερές εκδόσεις Djangο 4.0.6 ή 3.2.14, η ομάδα διαθέτει και ενημερώσεις κώδικα που μπορούν να εφαρμοστούν σε υπάρχουσες εκδόσεις που επηρεάζονται.

Οι ενημερώσεις κώδικα για την επίλυση του ζητήματος έχουν εφαρμοστεί στο main branch του Django και στους κλάδους έκδοσης 4.1, 4.0 και 3.2. Οι ενημερώσεις κώδικα μπορούν να ληφθούν από τα ακόλουθα changesets:

• Στο main branch
• Στο branch έκδοσης 4.1
• Στο branch έκδοσης 4.0
• Στο branch έκδοσης 3.2

“Αυτή η έκδοση ασφαλείας μετριάζει το πρόβλημα, αλλά έχουμε εντοπίσει βελτιώσεις στις μεθόδους API της βάσης δεδομένων που σχετίζονται με την εξαγωγή και την περικοπή ημερομηνίας που θα ήταν ωφέλιμο να προστεθούν στο Djangο 4.1 πριν από την τελική του κυκλοφορία”, αναφέρει η ομάδα της Django.

“Αυτό θα επηρεάσει τα backend της βάσης δεδομένων τρίτων κατασκευαστών που χρησιμοποιούν την υποψήφια έκδοση 1 ή νεότερη έκδοση του Django 4.1, έως ότου μπορέσουν να ενημερώσουν τις αλλαγές στο API. Ζητάμε συγγνώμη για την ταλαιπωρία.”

Η πολιτική ασφαλείας του Django αναφέρει ότι τυχόν πιθανά ζητήματα ασφαλείας αναφέρονται ιδιωτικά μέσω email στη διεύθυνση security@djangoproject.com.

Πηγή πληροφοριών: bleepingcomputer.com