Catatan terbitan Django 1.5.3

September 10, 2013

Ini adalah Django 1.5.3, terbitan ketiga di deretan Django 1.5. Itu mengalamatkan satu masalah keamanan dan juga mengandung sebuah fitur pilihan untuk meningkatkan keamanan dari django.contrib.sessions.

Kerentanan lintasan direktori dalam etiket cetakan ssi

Dalam versi sebelumnya Django itu telah memungkinkan melewatkan pengaturan ALLOWED_INCLUDE_ROOTS digunakan untuk keamanan dengan etiket cetakan ssi dengan menentukan jalur relatif yang dimulai dengan satu dari akar yang diizinkan. Sebagai contoh, jika ALLOWED_INCLUDE_ROOTS = ("/var/www",) berikutnya akan mungkin:

{% ssi "/var/www/../../etc/passwd" %}

Dalam praktiknya ini bukan sangat masalah umum, ketika itu akan membutuhkan cetakan penulis untuk menaruh berkas ssi di variabel terkendali-pengguna, tetapi itu memungkinkan pada dasarnya.

Mengurangi kerentenan pengerjaan kode-terpencil di django.contrib.sessions

django.contrib.sessions saat ini menggunakan pickle untuk menserialisasikan sesi data sebelum menyimpannya di backend. Jika anda sedang menggunakan signed cookie session backend dan SECRET_KEY diketahui oleh penyerang (tidak ada kerentanan melekat di Django yang menyebabkannya bocor), penyerang dapat memasukkan deretan karakter kedalam sesinya yang, ketika dibonglar, menjalankan kode berubah-ubah pada peladen. Teknik untuk melakukannya sangat sederhana dan mudah tersedia di internet. Meskipun penyimpanan sesi kue menandatangani data kue-disimpan untuk mencegah sabotase, bocoran SECRET_KEY segera meluas ke kerentanan pengerjaan kode terpencil.

Serangan ini dapat dikurangi dengan menserialisasikan sesi data menggunakan JSON daripada pickle. Untuk memudahkan ini, Django 1.5.3 memperkenalkan pengaturan baru, SESSION_SERIALIZER, untuk menyesuaikan bentuk serialisasi sesi. Untuk kesesuaian kebelakang, awalan pengaturan ini untuk menggunakan pickle. Selagi serialisasi JSON tidak mendukung semua obyek Python seperti pickle lakukan, kami sangat menganjurkan mengganti ke JSON-serialisasi nilai. Juga, seperti JSON membutuhkan kunci deretan karakter, anda akan sepertinya berjalan kedalam masalah jika anda menggunakan kuncu bukan-deretan karakter di request.session. Lihat dokumentasi Session serialization untuk rincian lebih.

Back to Top