miércoles, 25 de noviembre de 2015

Django soluciona vulnerabilidad de acceso a datos de configuración

La Django Software Foundation ha publicado nuevas versiones de las ramas 1.7, 1,8 y 1.9 de Django, que solucionan una vulnerabilidad que podría permitir a usuarios remotos obtener información sensible del sistema.

Django es un framework de código abierto basado en Python para el desarrollo de sitios web siguiendo el patrón MVC (Modelo-Vista-Controlador). Fue publicado por primera vez en 2005, y desde entonces su uso ha experimentado un considerable crecimiento entre los desarrolladores. Se compone de una serie de herramientas para facilitar la creación de páginas Web, siguiendo las directrices 'DRY' (Do not repeat yourself – No se repita) evitando redundancias de código y consecuentemente reduciendo tiempo y esfuerzo.

La vulnerabilidad, identificada con CVE-2015-8213, se debe a un error en el tratamiento del formato de las fechas relacionado con la plantilla del filtro de fecha "date" en la función "django.utils.formats.get_format()". Un usuario malicioso podría obtener configuraciones de la aplicación especificando una clave de configuración en vez de un formato de fecha. Por ejemplo: 'SECRET_KEY' en vez de 'd/m/A'.

Django Software Foundation ha publicado las versiones Django 1.7.11, 1.8.7 y 1.9 Release Candidate 2 que solucionan esta vulnerabilidad. Las actualizaciones están disponibles a través de la página oficial de Django:
Django 1.9rc2
Django 1.8.7
Django 1.7.11

Más información:

Security releases issued: 1.9rc2, 1.8.7, 1.7.11



Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada