В Django исправлен баг, допускающий SQL-инъекции - «Новости» » Интернет технологии
sitename
Как принимать оплату в Telegram боте: выбор платёжной системы, подключение и автоматическая выдача продукта
Как принимать оплату в Telegram боте: выбор платёжной системы, подключение и автоматическая выдача продукта
 Более 73 000 устройств Fortinet пострадали от утечки данных FortiBleed - «Новости»
Более 73 000 устройств Fortinet пострадали от утечки данных FortiBleed - «Новости»
 Специалист Positive Technologies нашел две уязвимости нулевого дня в Windows - «Новости»
Специалист Positive Technologies нашел две уязвимости нулевого дня в Windows - «Новости»
 Группировка ShinyHunters заявила, что похитила данные у компании Kodak - «Новости»
Группировка ShinyHunters заявила, что похитила данные у компании Kodak - «Новости»
 В Microsoft работают над патчем для 0-day-уязвимости RoguePlanet - «Новости»
В Microsoft работают над патчем для 0-day-уязвимости RoguePlanet - «Новости»
 Android-вредонос Rokarolla атакует 217 банковских и криптовалютных приложений - «Новости»
Android-вредонос Rokarolla атакует 217 банковских и криптовалютных приложений - «Новости»
 Electra придумала авиалайнер будущего с фюзеляжем «двойной пузырь» и тремя электродвигателями в хвосте - «Новости сети»
Electra придумала авиалайнер будущего с фюзеляжем «двойной пузырь» и тремя электродвигателями в хвосте - «Новости сети»
 «Скайнет» всё ближе: спутник впервые самостоятельно обнаружил искомый объект с помощью ИИ - «Новости сети»
«Скайнет» всё ближе: спутник впервые самостоятельно обнаружил искомый объект с помощью ИИ - «Новости сети»
 Китайские вузы закрыли более 12 000 «устаревших» специальностей, заменив их профессиями в сферах ИИ и робототехники - «Новости сети»
Китайские вузы закрыли более 12 000 «устаревших» специальностей, заменив их профессиями в сферах ИИ и робототехники - «Новости сети»
 Asus представила настольный компьютер с Nvidia GB300 и 748 Гбайт памяти по цене однушки в Москве - «Новости сети»
Asus представила настольный компьютер с Nvidia GB300 и 748 Гбайт памяти по цене однушки в Москве - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » В Django исправлен баг, допускающий SQL-инъекции - «Новости»

✔В Django исправлен баг, допускающий SQL-инъекции - «Новости»

06 июля 2022 590 Новости / Изображения / Вёрстка 0

Разработчики популярного фреймворка Django исправили серьезную уязвимость в своем коде. Баг с идентификатором CVE-2022-34265 позволял осуществлять SQL-инъекции в основной ветке Django, а также в версиях 4.1 (в настоящее время в бета-версии), 4.0 и 3.2.


Чтобы устранить проблему, команда Django выпустила версии Django 4.0.6 и Django 3.2.14, и теперь разработчики призывают пользователей как можно скорее обновить свои установки Django.


Уязвимость, о которой идет речь, получила идентификатор CVE-2022-34265 и была обнаружена экспертами из Aeye Security Lab. Проблема позволяла злоумышленниками атаковать веб-приложения Django через аргументы, переданные Trunc(kind) и Extract(lookup_name).


«Функции Trunc() и Extract() были подвержены SQL-инъекциям, если в качестве значения kind/lookup_name использовались ненадежные данные, — пишут разработчики. — Приложения, которые ограничивают lookup name и kind известным безопасным списком, проблеме не подвержены».


Для тех, кто не может прямой сейчас перейти на исправленную версию Django 4.0.6 или 3.2.14, доступны патчи, которые можно применить к другим версиям фреймворка: для основной ветки,  для 4.1, для 4.0 и для 3.2.


Разработчики популярного фреймворка Django исправили серьезную уязвимость в своем коде. Баг с идентификатором CVE-2022-34265 позволял осуществлять SQL-инъекции в основной ветке Django, а также в версиях 4.1 (в настоящее время в бета-версии), 4.0 и 3.2. Чтобы устранить проблему, команда Django выпустила версии Django 4.0.6 и Django 3.2.14, и теперь разработчики призывают пользователей как можно скорее обновить свои установки Django. Уязвимость, о которой идет речь, получила идентификатор CVE-2022-34265 и была обнаружена экспертами из Aeye Security Lab. Проблема позволяла злоумышленниками атаковать веб-приложения Django через аргументы, переданные Trunc(kind) и Extract(lookup_name). «Функции Trunc() и Extract() были подвержены SQL-инъекциям, если в качестве значения kind/lookup_name использовались ненадежные данные, — пишут разработчики. — Приложения, которые ограничивают lookup name и kind известным безопасным списком, проблеме не подвержены». Для тех, кто не может прямой сейчас перейти на исправленную версию Django 4.0.6 или 3.2.14, доступны патчи, которые можно применить к другим версиям фреймворка: для основной ветки, для 4.1, для 4.0 и для 3.2.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS
запостил(а)
Vance
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: