Catatan terbitan Django 1.8.16

1 November 2016

Django 1.8.16 memperbaiki dua masalah keamanan di 1.8.15.

Pengguna dengan sandi kode keras dibuat ketika menjalankan percobaan pada Oracle

Ketika menjalankan percobaan dengan basisdata Oracle, Django membuat basisdata sementara pengguna. Di versi terlama, jika sandi tidak secara manual ditentukan di pengaturan basisdata kamus TEST, sebuah kode keras sandi digunakan. Inidapat mengizinkan penyerang dengan akses jaringan ke peladen basisdata untuk terhubung.

Pengguna ini biasanya dibuang setelah rangkaian percobaan selesai, tetapi tidak ketika menggunakan pilihan manage.py test --keepdb atau jika pengguna mempunyai sesi aktif (seperti seorang hubungan penyerang).

Secara acak sandi dibangkitkan sekarang digunakan untuk setiap pejalan percobaan.

Kerentanan pengikatan kembali DNS ketika DEBUG=True

Versi terlama dari Django tidak mensahkan kepala Host terhadap settings.ALLOWED_HOSTS ketika settings.DEBUG=True. Ini membuat mereka rentan pada DNS rebinding attack.

Selagi Django tidak dibekali modul yang mengizinkan pengerjaan kode secara terpencil, ini setidaknya vektor cross-site scripting, yang dapat sangat serius jika pengembang memuat salinan dari basisdata produksi di pengembangan atau terhubung ke beberapa layanan produksi untuk dimana tidak ada instance pengembangan, sebagai contoh. Jika sebuah proyek menggunakan sebuah paket seperti django-debug-toolbar, kemudian penyerang dapa menjalankan SQL yang berubah-ubah, yang dapat khususnya buruk jika pengembang terhubung ke basisdata dengan akun superuser.

settings.ALLOWED_HOSTS sekarang disahkan meskipun DEBUG. Untuk kemnyamanan, jika ALLOWED_HOSTS adalah kosong dan DEBUG=True, perbedaan berikut dari localhost diizinkan ['localhost', '127.0.0.1', '::1']. Jika berkas pengaturan lokal anda mempunyai produksi anda nilai ALLOWED_HOSTS, anda harus sekarang menghilangkan itu untuk mendapatkan nilai fallback tersebut.

Back to Top