La
Django Software Foundation ha
publicado nuevas versiones de las ramas 1.7, 1,8 y 1.9 de Django, que
solucionan una vulnerabilidad que podría
permitir a usuarios remotos obtener información sensible del sistema.
Django es un framework de código
abierto basado en Python para el desarrollo de sitios web siguiendo el patrón
MVC (Modelo-Vista-Controlador). Fue publicado por primera vez en 2005, y desde
entonces su uso ha experimentado un considerable crecimiento entre los
desarrolladores. Se compone de una serie de herramientas para facilitar la
creación de páginas Web, siguiendo las directrices 'DRY' (Do not repeat yourself – No se repita) evitando redundancias
de código y consecuentemente reduciendo tiempo y esfuerzo.
La vulnerabilidad, identificada
con CVE-2015-8213, se debe a un error en el tratamiento del
formato de las fechas relacionado con la plantilla del filtro de fecha "date" en la función "django.utils.formats.get_format()".
Un usuario malicioso podría obtener configuraciones
de la aplicación especificando una clave de configuración en vez de un
formato de fecha. Por ejemplo: 'SECRET_KEY' en vez de 'd/m/A'.
Django Software Foundation ha
publicado las versiones Django 1.7.11, 1.8.7 y 1.9 Release Candidate 2 que
solucionan esta vulnerabilidad. Las actualizaciones están disponibles a través
de la página oficial de Django:
Django 1.9rc2
Django 1.8.7
Django 1.7.11
Más información:
Security releases issued: 1.9rc2, 1.8.7, 1.7.11
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario