В Django исправлен баг, допускающий SQL-инъекции - «Новости» » Интернет технологии
sitename
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
 Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
 На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
 Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
 Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
 Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
 Королевская почта Великобритании расследует возможную утечку данных - «Новости»
Королевская почта Великобритании расследует возможную утечку данных - «Новости»
 РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
 В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
 Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » В Django исправлен баг, допускающий SQL-инъекции - «Новости»

✔В Django исправлен баг, допускающий SQL-инъекции - «Новости»

06 июля 2022 567 Новости / Изображения / Вёрстка 0

Разработчики популярного фреймворка Django исправили серьезную уязвимость в своем коде. Баг с идентификатором CVE-2022-34265 позволял осуществлять SQL-инъекции в основной ветке Django, а также в версиях 4.1 (в настоящее время в бета-версии), 4.0 и 3.2.


Чтобы устранить проблему, команда Django выпустила версии Django 4.0.6 и Django 3.2.14, и теперь разработчики призывают пользователей как можно скорее обновить свои установки Django.


Уязвимость, о которой идет речь, получила идентификатор CVE-2022-34265 и была обнаружена экспертами из Aeye Security Lab. Проблема позволяла злоумышленниками атаковать веб-приложения Django через аргументы, переданные Trunc(kind) и Extract(lookup_name).


«Функции Trunc() и Extract() были подвержены SQL-инъекциям, если в качестве значения kind/lookup_name использовались ненадежные данные, — пишут разработчики. — Приложения, которые ограничивают lookup name и kind известным безопасным списком, проблеме не подвержены».


Для тех, кто не может прямой сейчас перейти на исправленную версию Django 4.0.6 или 3.2.14, доступны патчи, которые можно применить к другим версиям фреймворка: для основной ветки,  для 4.1, для 4.0 и для 3.2.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Разработчики популярного фреймворка Django исправили серьезную уязвимость в своем коде. Баг с идентификатором CVE-2022-34265 позволял осуществлять SQL-инъекции в основной ветке Django, а также в версиях 4.1 (в настоящее время в бета-версии), 4.0 и 3.2. Чтобы устранить проблему, команда Django выпустила версии Django 4.0.6 и Django 3.2.14, и теперь разработчики призывают пользователей как можно скорее обновить свои установки Django. Уязвимость, о которой идет речь, получила идентификатор CVE-2022-34265 и была обнаружена экспертами из Aeye Security Lab. Проблема позволяла злоумышленниками атаковать веб-приложения Django через аргументы, переданные Trunc(kind) и Extract(lookup_name). «Функции Trunc() и Extract() были подвержены SQL-инъекциям, если в качестве значения kind/lookup_name использовались ненадежные данные, — пишут разработчики. — Приложения, которые ограничивают lookup name и kind известным безопасным списком, проблеме не подвержены». Для тех, кто не может прямой сейчас перейти на исправленную версию Django 4.0.6 или 3.2.14, доступны патчи, которые можно применить к другим версиям фреймворка: для основной ветки, для 4.1, для 4.0 и для 3.2.
CSS
запостил(а)
Vance
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: