Arsip dari masalah keamanan

Tim pengembangan Django memiliki komitmen yang kuat untuk bertanggung jawab melaorkan dan menyingkap dari masalah terkait-keamanan, sebagai diuraikan di Django’s security policies.

Sebagai bagian dari komitmen itu, kami merawat daftar riwayat berikut dari masalah yang telah diperbaiki dan diungkapkan. Untuk setiap masalah, daftar dibawah termasuk tanggal, gambaran singkat CVE identifier jika diberlakukan, sebuah daftar dari versi terpengaruh, sebuah tautan pada pengungkapan penuh dan tautan ke tambalan-tambalan yang sesuai.

Beberapa peringatan penting berlaku pada informasi ini:

  • Daftar dari versi terpengaruh termasuk hanya versi itu dari Django yang stabil, terbitan dukungan-keamanan pada saat dari penyingkapan. Ini berarti versi terlama (yang dukungan keamanan telah berakhir) dan versi yang berada di pra-terbitan keadaan (alpha/beta/RC) pada saat dari penyingkapan mungkin telah terpengaruh, tetapi tidak terdaftar.

  • The Django project has on occasion issued security advisories, pointing out potential security problems which can arise from improper configuration or from other issues outside of Django itself. Some of these advisories have received CVEs; when that is the case, they are listed here, but as they have no accompanying patches or releases, only the description, disclosure and CVE will be listed.

Masalah-masalah pada sebelum pengolahan keamanan Django

Beberapa masalah keamanan ditangani sebelum Django telah menyusun pengolahan keamanan yang digunakan. Untuk ini, terbitan baru mungkin tidak telah dikeluarkan pada saat itu dan CVE mungkin tidak telah ditentukan.

16 Agustus 2006 - CVE-2007-0404

Masalah pengesahan nama berkas di terjemahan kerangka kerja. Full description

Versi terpengaruh

21 Januari 2007 - CVE-2007-0405

Kejelasan “caching” dari pengguna terautentifikasi. Full description

Versi terpengaruh

Masalah dibawah pengolahan keamanan Django

Semua masalah keamanan lain telah ditangani dibawah versi dari pengeolahan keamanan Django. Ini adalah terdaftar dibawah.

26 Oktober 2007 - CVE-2007-5712

Denial-of-service melalui kepala Accept-Language besar-berubah-ubah. Full description

Versi terpengaruh

14 mei 2008 - CVE-2008-2302

XSS melalui pengalihan masuk admin. Full description

Versi terpengaruh

2 September 2008 - CVE-2008-3909

CSRF melalui pemeliharaan dari data POST selama masuk admin. Full description

Versi terpengaruh

28 Juli 2009 - CVE-2009-2659

Lintasan-direktori dalam penangan media peladen pengembangan. Full description

Versi terpengaruh

9 Oktober 2009 - CVE-2009-3965

Denial-of-service melalui penampilan pernyataan regular patologi. Full description

Versi terpengaruh

8 September 2010 - CVE-2010-3082

XSS melalui nilai kue tidak aman dipercaya. Full description

Versi terpengaruh

22 Desember 2010 - CVE-2010-4534

Kebocoran informasi di antarmuka administratif. Full description

Versi terpengaruh

22 Desember 2010 - CVE-2010-4535

Denial-of-service di mekanisme setel kembali-sandi. Full description

Versi terpengaruh

8 Februari 2011 - CVE-2011-0696

CSRF melalui kepala HTTP yang ditempa. Full description

Versi terpengaruh

8 Februari 2011 - CVE-2011-0697

XSS melalui nama-nama tidak dibersihkan dari berkas-berkas terunggah. Full description

Versi terpengaruh

8 Februari 2011 - CVE-2011-0698

Lintasan-direktori pada Windows melalui penanganan pemisah-jalur tidak benar. Full description

Versi terpengaruh

9 September 2011 - CVE-2011-4136

Manipulasi sesi ketika menggunakan sesi backend-cache-memori. Full description

Versi terpengaruh

9 September 2011 - CVE-2011-4137

Denial-of-service melalui URLField.verify_exists. Full description

Versi terpengaruh

9 September 2011 - CVE-2011-4138

Pengeluaran permintaan kebocoran/berubah-ubah informasi melalui URLField.verify_exists. Full description

Versi terpengaruh

9 September 2011 - CVE-2011-4139

Peracunan cache kepala Host. Full description

Versi terpengaruh

9 September 2011 - CVE-2011-4140

Kemungkinan CSRF melalui kepala Host. Full description

Versi terpengaruh

Pemberitahuan ini hanya saran, jadi tidak ada tambalan diterbitkan.

  • Django 1.2
  • Django 1.3

30 Juli 2012 - CVE-2012-3442

XSS melalui kegagalan untuk mensahkan skema pengalihan. Full description

Versi terpengaruh

30 Juli 2012 - CVE-2012-3443

Denial-of-service melalui berkas-berkas gambar termampatkan. Full description

Versi terpengaruh

30 Juli 2012 - CVE-2012-3444

Denial-of-service melalui berkas-berkas gambar. Full description

Versi terpengaruh

17 Oktober 2012 - CVE-2012-4520

Peracunan kepala Host. Full description

Versi terpengaruh

Desember 10, 2012 - No CVE 1

Tambahan pengerasan dari penanganan kepala Host. Full description

Versi terpengaruh

Desember 10, 2012 - No CVE 2

Tambahan pengerasan dari pengalihan pengesahan. Full description

Versi terpengaruh

Februari 19, 2013 - No CVE

Tambahan pengerasan dari penanganan kepala Host. Full description

Versi terpengaruh

19 Februari 2013 - CVE-2013-1664 / CVE-2013-1665

Serangan berdasarkan-masukan terhadap pustaka XML Python. Full description

Versi terpengaruh

19 Februari 2013 - CVE-2013-0305

Kebocoran informasi melalui catatan riwayat admin. Full description

Versi terpengaruh

19 Februari 2013 - CVE-2013-0306

Denial-of-service melalui memotong max_num formset. Full description

Versi terpengaruh

13 Agustus 2013 - CVE-2013-4249

XSS melalui nilai-nilai URLField dipercaya admin. Full description

Versi terpengaruh

13 Agustus 2013 - CVE-2013-6044

Kemungkinan XSS melalui skema pengalihan URL tidak disahkan. Full description

Versi terpengaruh

10 September 2013 - CVE-2013-4315

Lintasan-direktori melalui etiket cetakan ssi. Full description

Versi terpengaruh

14 September 2013 - CVE-2013-1443

Denial-of-service melalui sandi besar. Full description

Versi terpengaruh

21 April 2014 - CVE-2014-0472

Pengerjaan kode tidak diharapkan menggunakan reverse(). Full description

Versi terpengaruh

21 April 2014 - CVE-2014-0473

Cache dari halaman anonim dapat mengungkap token CSRF. Full description

Versi terpengaruh

21 April 2014 - CVE-2014-0474

Typecast MySQL menyebabkan hasil permintaan yang tidak diharapkan. Full description

Versi terpengaruh

18 Mei 2014 - CVE-2014-1418

Tembolok mungkin diizinkan untuk menyimpan dan melayani data pribadi. Full description

Versi terpengaruh

18 Mei 2014 - CVE-2014-3730

URL jelek dari masukan pengguna tidak benar disahkan. Full description

Versi terpengaruh

20 Agustus 2014 - CVE-2014-0480

reverse()` dapat membangkitkan URL menunjuk ke rumah lain. Full description

Versi terpengaruh

20 Agustus 2014 - CVE-2014-0481

Unggah berkas denial of service. Full description

Versi terpengaruh

20 Agustus 2014 - CVE-2014-0482

Pembajakan sesi RemoteUserMiddleware. Full description

Versi terpengaruh

20 Agustus 2014 - CVE-2014-0483

Kebocoran data melalui memanipulasi querystring di admin. Full description

Versi terpengaruh

13 Januari 2015 - CVE-2015-0219

Menipu kepala WSGI melalui garis bawah/penggabungan tanda garis. Full description

Versi terpengaruh

13 Januari 2015 - CVE-2015-0220

Dikurangi kemungkinan serangan XSS melalui URL pengalihan diberikan-pengguna. Full description

Versi terpengaruh

13 Januari 2015 - CVE-2015-0221

Serangan denial-of-service terhadap django.views.static.serve(). Full description

Versi terpengaruh

13 januari 2015 - CVE-2015-0222

Denial-of-service basisdata dengan ModelMultipleChoiceField. Full description

Versi terpengaruh

9 Maret 2015 - CVE-2015-2241

Serangan XSS melalui sifat di ModelAdmin.readonly_fields. Full description

Versi terpengaruh

18 Maret 2015 - CVE-2015-2316

Kemungkinan denial-of-service dengan strip_tags(). Full description

Versi terpengaruh

18 Maret 2015 - CVE-2015-2317

Dikurangi kemungkinan serangan XSS melalui URL pengalihan diberikan-pengguna. Full description

Versi terpengaruh

20 Mei 2015 - CVE-2015-3982

Diperbaiki pembilasan sesi di backend cached_db. Full description

Versi terpengaruh

8 Juli 2015 - CVE-2015-5143

Kemungkinan denial-of-service dengan mengisi toko sesi. Full description

Versi terpengaruh

8 Juli 2015 - CVE-2015-5144

Kemungkinan suntikan kepala sejak pengesah menerima baris baru di masukan. Full description

Versi terpengaruh

8 Juli 2015 - CVE-2015-5145

Kemungkinan denial-of-service di pengesahan URL. Full description

Versi terpengaruh

18 Agustus 2015 - CVE-2015-5963 / CVE-2015-5964

Kemungkinan denial-of-service di tampilan logout() dengan mengisi toko sesi. Full description

Versi terpengaruh

24 November 2015 - CVE-2015-8213

Menyetel kemungkinan bocor di penyaring cetakan date. Full description

Versi terpengaruh

1 Februari 2016 - CVE-2016-2048

Pengguna dengan “change” tetapi tidak “add” perizinan dapat membuat obyek untuk ModelAdmin dengan save_as=True. Full description

Versi terpengaruh

1 Maret 2016 - CVE-2016-2512

Pengalihan dan kemungkinsn serangan XSS jelek melalui URL pengalihan diberikan-pengguna mengandung autentifikasi dasar. Full description

Versi terpengaruh

1 Maret 2016 - CVE-2016-2513

Pendaftaran pengguna melalui perbedaan pewaktu pada peningkatan faktor pekerjaan pengacak sandi. Full description

Versi terpengaruh

18 Juli 2016 - CVE-2016-6186

XSS dalam popup terkait tambah/rubah admin. Full description

Versi terpengaruh

26 September 2016 - CVE-2016-7401

Pemotongan perlindungan CSRF pada situs dengan Google Analytics. Full description

Versi terpengaruh

1 November 2016 - CVE-2016-9013

Pengguna dengan sandi kode keras sandi dibuat ketika menjalankan percobaan pada Oracle. Full description

Versi terpengaruh

1 November 2016 - CVE-2016-9014

Kerentanan mengikat kembali ketika DEBUG=True. Full description

Versi terpengaruh

Back to Top