Open Source

Poprawki bezpieczeństwa dla Django

Zostały wydane łatki na dwie wykryte luki bezpieczeństwa w Django. Pierwsza z luk związana jest z nagłówkami HTTP, druga z potencjalnie wprowadzającą w błąd dokumentacją.

Błąd dotyczący nagłówków HTTP sprawia, że w pewnych okolicznościach - jeśli do generowania adresów URL na stronie wykorzystywany jest nagłówek "Host header" - atakujący może doprowadzić do wygenerowania niepoprawnych adresów URL na stronie i w efekcie skierować użytkownika na niewłaściwą stronę.

Błąd dotyczący dokumentacji polega na tym, że dokumentacja mylnie sugerowała, że ciasteczka generowane przez metodę "HttpResponse.set_cookie()" są ciasteczkami z flagą "HttpOnly". Tymczasem flaga ta ustawiana jest tylko dla ciasteczek sesji.

Pierwszy z problemów dotyczy Django w wersjach 1.3, 1.4 oraz wersji deweloperskiej, drugi Django 1.4 oraz wersji deweloperskiej.

Więcej informacji w oryginalnym ogłoszeniu na stronie projektu Django: tutaj.

Napisał: Jakub Wiśniowski, dnia: Październik 18, 2012

Komentarze

Komentarze wyłączone

W celu zabezpieczenia się przed spamem komentarze są wyłączone.