В Django исправлен баг, допускающий SQL-инъекции - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
 Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
 Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
 Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
 Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
 Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
 Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
 Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
 Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
 «Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » В Django исправлен баг, допускающий SQL-инъекции - «Новости»

✔В Django исправлен баг, допускающий SQL-инъекции - «Новости»

06 июля 2022 424 Новости / Изображения / Вёрстка 0

Разработчики популярного фреймворка Django исправили серьезную уязвимость в своем коде. Баг с идентификатором CVE-2022-34265 позволял осуществлять SQL-инъекции в основной ветке Django, а также в версиях 4.1 (в настоящее время в бета-версии), 4.0 и 3.2.


Чтобы устранить проблему, команда Django выпустила версии Django 4.0.6 и Django 3.2.14, и теперь разработчики призывают пользователей как можно скорее обновить свои установки Django.


Уязвимость, о которой идет речь, получила идентификатор CVE-2022-34265 и была обнаружена экспертами из Aeye Security Lab. Проблема позволяла злоумышленниками атаковать веб-приложения Django через аргументы, переданные Trunc(kind) и Extract(lookup_name).


«Функции Trunc() и Extract() были подвержены SQL-инъекциям, если в качестве значения kind/lookup_name использовались ненадежные данные, — пишут разработчики. — Приложения, которые ограничивают lookup name и kind известным безопасным списком, проблеме не подвержены».


Для тех, кто не может прямой сейчас перейти на исправленную версию Django 4.0.6 или 3.2.14, доступны патчи, которые можно применить к другим версиям фреймворка: для основной ветки,  для 4.1, для 4.0 и для 3.2.


Разработчики популярного фреймворка Django исправили серьезную уязвимость в своем коде. Баг с идентификатором CVE-2022-34265 позволял осуществлять SQL-инъекции в основной ветке Django, а также в версиях 4.1 (в настоящее время в бета-версии), 4.0 и 3.2. Чтобы устранить проблему, команда Django выпустила версии Django 4.0.6 и Django 3.2.14, и теперь разработчики призывают пользователей как можно скорее обновить свои установки Django. Уязвимость, о которой идет речь, получила идентификатор CVE-2022-34265 и была обнаружена экспертами из Aeye Security Lab. Проблема позволяла злоумышленниками атаковать веб-приложения Django через аргументы, переданные Trunc(kind) и Extract(lookup_name). «Функции Trunc() и Extract() были подвержены SQL-инъекциям, если в качестве значения kind/lookup_name использовались ненадежные данные, — пишут разработчики. — Приложения, которые ограничивают lookup name и kind известным безопасным списком, проблеме не подвержены». Для тех, кто не может прямой сейчас перейти на исправленную версию Django 4.0.6 или 3.2.14, доступны патчи, которые можно применить к другим версиям фреймворка: для основной ветки, для 4.1, для 4.0 и для 3.2.
CSS
запостил(а)
Vance
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: