viernes, 8 de septiembre de 2017

Nuevas versiones de seguridad de Django

La Django Software Foundation ha publicado nuevas versiones de seguridad de las ramas Django 1.11 y 1.10, que soluciona una vulnerabilidad de cross-site scripting.



Django es un framework de código abierto basado en Python para el desarrollo de sitios web siguiendo el patrón MVC (Modelo-Vista-Controlador). Fue publicado por primera vez en 2005, y desde entonces su uso ha experimentado un considerable crecimiento entre los desarrolladores. Se compone de una serie de herramientas para facilitar la creación de páginas Web, siguiendo las directrices 'DRY' (Do not repeat yourself – No se repita) evitando redundancias de código y consecuentemente reduciendo tiempo y esfuerzo.


La vulnerabilidad, identificada con el identificador CVE-2017-12794, se produce sólo cuando se tiene el modo debug activado (DEBUG = True) y podría permitir a un atacante remoto llevar a cabo ataques de cross-site scripting contra la página de retorno de error 500 que devuelve el framework.


Django Software Foundation ha publicado las versiones Django 1.11.5 y 1.10.8 de Django que soluciona la vulnerabilidad. Las actualizaciones están disponibles desde la página oficial de Django.

Django 1.11.5
https://www.djangoproject.com/m/releases/1.11/Django-1.11.5.tar.gz
Django 1.10.8
https://www.djangoproject.com/m/releases/1.10/Django-1.10.8.tar.gz



También se encuentran disponibles los parches en github o a través del aviso publicado:
https://www.djangoproject.com/weblog/2017/sep/05/security-releases/


Más información:
Django security releases issued: 1.11.5 and 1.10.8
Fernando Ramírez
framirez@hispasec.com