Catatan terbitan Django 1.7.9

8 Juli 2015

Django 1.7.9 memperbaiki beberapa masalah keamanan di 1.7.8.

Kemungkinan denial-of-service dengan mengisi sesi toko

Dalam versi sebelumnya Django, backend sesi membuat rekaman kosong baru di penyimpanan sesi kapanpun request.session diakses dan ada kunci sesi yang disediakan di permintaan kue yang tidak mempunyai rekaman sesi. Ini dapat mengizinkan seorang penyerang dengan mudah membuat banyak rekaman sesi baru cukup dengan mengirim permintaan berulang dengan kunci sesi yang tidak diketahui, kemungkinan mengisi penyimpanan sesi atau menyebabkan rekaman sesi pengguna lain dikeluarkan.

Backend sesi siap-pakai sekarang membuat sebuah sesi hanya merekam jika sesi sebenarnya dirubah; rekaman sesi kosong tidak dibuat. Demikian kemungkinan DoS ini sekarang memungkinkan jika situs memilih untuk membuka tampilan merubah-sesi pada pengguna anonim.

Ketika setiap backend sesi siap-pakai telah diperbaiki terpisah (daripada memperbaiki kerangka kerja sesi inti), perawat dari backend sesi pihak-ketiga harus memeriksa apakah kerentanan yang sama hadir dalam backend mereka dan memperbaiki jika ada.

Kemunghinan suntikan kepala sejak pengesah menerima baris baru dalam masukan

Beberapa pengecek siap-pakai Django (EmailValidator, paling serius) tidak melarang karakter baris baru (karena penggunaan dari $ sebagai ganti dari``Z`` di regular expression). Jika anda menggunakan nilai-nilai dengan baris baru di tanggapan HTTP atau kepala surel, anda dapat menderita dari serangan suntikan kepala. Django itu sendiri tidak rentan karena HttpResponse dan alat pengirim surat dalam django.core.mail melarang baris baru di kepala HTTP dan SMPT, masing-masing. Selagi pengecek telah diperbaiki di Django, jika anda sedang membuat tanggapan HTTP atau pesan surel di cara lain, itu adalah ide bagus untuk memastikan bahwa metode tersebut melarang baris baru juga. Anda mungkin juga ingin mengesahkan bahwa tiap data yang ada di aplikasi anda tidak mengandung baris baru yang tidak diharapkan.

validate_ipv4_address(), validate_slug(), dan URLValidator juga terpengaruh, bagaimanapun, pada Django 1.6 bidang formulir GenericIPAddresseField, IPAddressField, SlugField, dan URLField yang menggunakan pengesah ini semua memilah masukan, jadi kemungkinan dari baris baru memasukkan data anda hanya ada jika anda sedang menggunakan pengesah ini diluat dari bidang formulir.

Tidak terdokumentasi, secara internal tidak digunakan fungsi validate_integer() sekarang lebih ketat ketika itu mensahkan menggunakan regular expression daripada cukup memberikan nilai menggunakan int() dan memeriksa jika sebuah pengecualian telah dimunculkan.

Perbaikan kesalahan

  • Dicegah kehilangan sifat kolom null/not null selama penamaan bidang dari basisdata MySQL (#24817).

  • Diperbaiki SimpleTestCase.assertRaisesMessage() pada Python 2.7.10 (#24903).

Back to Top