В Django исправлен баг, допускающий SQL-инъекции - «Новости» » Интернет технологии
sitename
Учёт рабочего времени
Учёт рабочего времени
 NASA: ракета SLS готова для исторической доставки астронавтов к Луне в следующем году - «Новости сети»
NASA: ракета SLS готова для исторической доставки астронавтов к Луне в следующем году - «Новости сети»
 Пользователей Windows 11 втихую лишили возможности навсегда отключать автообновления приложений из Microsoft Store - «Новости сети»
Пользователей Windows 11 втихую лишили возможности навсегда отключать автообновления приложений из Microsoft Store - «Новости сети»
 Игроки Victoria 3 за год довели до голодной смерти 860 квадриллионов человек — это больше населения Земли в 106 миллионов раз - «Новости сети»
Игроки Victoria 3 за год довели до голодной смерти 860 квадриллионов человек — это больше населения Земли в 106 миллионов раз - «Новости сети»
 OpenAI представила ИИ-браузер ChatGPT Atlas — альтернатива Google Chrome с «памятью» и агентами - «Новости сети»
OpenAI представила ИИ-браузер ChatGPT Atlas — альтернатива Google Chrome с «памятью» и агентами - «Новости сети»
 Многострадальная Vampire: The Masquerade — Bloodlines 2 добралась до релиза спустя 20 лет после выхода культовой первой части - «Новости сети»
Многострадальная Vampire: The Masquerade — Bloodlines 2 добралась до релиза спустя 20 лет после выхода культовой первой части - «Новости сети»
 Librarian Likho разрабатывает собственную малварь с помощью ИИ - «Новости»
Librarian Likho разрабатывает собственную малварь с помощью ИИ - «Новости»
 На Positive Security Day рассказали о новых продуктах и трендах - «Новости»
На Positive Security Day рассказали о новых продуктах и трендах - «Новости»
 Подрядчик Discord отрицает компрометацию своих систем - «Новости»
Подрядчик Discord отрицает компрометацию своих систем - «Новости»
 Банкер Astaroth использует GitHub, чтобы избегать блокировок - «Новости»
Банкер Astaroth использует GitHub, чтобы избегать блокировок - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » В Django исправлен баг, допускающий SQL-инъекции - «Новости»

✔В Django исправлен баг, допускающий SQL-инъекции - «Новости»

06 июля 2022 589 Новости / Изображения / Вёрстка 0

Разработчики популярного фреймворка Django исправили серьезную уязвимость в своем коде. Баг с идентификатором CVE-2022-34265 позволял осуществлять SQL-инъекции в основной ветке Django, а также в версиях 4.1 (в настоящее время в бета-версии), 4.0 и 3.2.


Чтобы устранить проблему, команда Django выпустила версии Django 4.0.6 и Django 3.2.14, и теперь разработчики призывают пользователей как можно скорее обновить свои установки Django.


Уязвимость, о которой идет речь, получила идентификатор CVE-2022-34265 и была обнаружена экспертами из Aeye Security Lab. Проблема позволяла злоумышленниками атаковать веб-приложения Django через аргументы, переданные Trunc(kind) и Extract(lookup_name).


«Функции Trunc() и Extract() были подвержены SQL-инъекциям, если в качестве значения kind/lookup_name использовались ненадежные данные, — пишут разработчики. — Приложения, которые ограничивают lookup name и kind известным безопасным списком, проблеме не подвержены».


Для тех, кто не может прямой сейчас перейти на исправленную версию Django 4.0.6 или 3.2.14, доступны патчи, которые можно применить к другим версиям фреймворка: для основной ветки,  для 4.1, для 4.0 и для 3.2.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Разработчики популярного фреймворка Django исправили серьезную уязвимость в своем коде. Баг с идентификатором CVE-2022-34265 позволял осуществлять SQL-инъекции в основной ветке Django, а также в версиях 4.1 (в настоящее время в бета-версии), 4.0 и 3.2. Чтобы устранить проблему, команда Django выпустила версии Django 4.0.6 и Django 3.2.14, и теперь разработчики призывают пользователей как можно скорее обновить свои установки Django. Уязвимость, о которой идет речь, получила идентификатор CVE-2022-34265 и была обнаружена экспертами из Aeye Security Lab. Проблема позволяла злоумышленниками атаковать веб-приложения Django через аргументы, переданные Trunc(kind) и Extract(lookup_name). «Функции Trunc() и Extract() были подвержены SQL-инъекциям, если в качестве значения kind/lookup_name использовались ненадежные данные, — пишут разработчики. — Приложения, которые ограничивают lookup name и kind известным безопасным списком, проблеме не подвержены». Для тех, кто не может прямой сейчас перейти на исправленную версию Django 4.0.6 или 3.2.14, доступны патчи, которые можно применить к другим версиям фреймворка: для основной ветки, для 4.1, для 4.0 и для 3.2.
CSS
запостил(а)
Vance
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: