Django 1.8.16 release notes¶
1 listopada 2016
Django 1.8.16 fixes two security issues in 1.8.15.
Użytkownik tworzony z zahard-code’owanym hasłem podczas uruchamiania testów na Oracle’u¶
Podczas uruchamiania testów z bazą danych Oracle, Django tworzy tymczasowego użytkownika bazy danych. W starszych wersjach, jeśli hasło nie zostało podane ręcznie w słowniku TEST
ustawień bazy danych, używane jest hasło zahard-code’owane. To mogło pozwalać atakującemu z dostępem sieciowym do serwera bazy danych na połączenie.
Ten użytkownik jest zazwyczaj usuwany po tym, jak zestaw testów skończy się wykonywać, lecz nie gdy używa się opcji manage.py test --keepdb
lub kiedy użytkownik ma aktywną sesję (taką jak połączenie atakującego).
Losowo generowane hasło jest teraz używane przy każdym uruchomieniu testu.
Słabość rebindingu DNS, gdy DEBUG=True
¶
Older versions of Django don’t validate the Host
header against
settings.ALLOWED_HOSTS
when settings.DEBUG=True
. This makes them
vulnerable to a DNS rebinding attack.
Jako że Django nie dostarcza modułu, który zezwala na zdalne wykonywanie kodu, jest to co najmniej wektor cross-site scriptingu, który może być całkiem poważny, jeśli deweloperzy ładują kopię produkcyjnej bazy danych w dewelopmencie lub łączą się do jakiś produkcyjnych usług, które na przykład nie mają deweloperskich instancji. Jeśli projekt używa pakietu takiego jak django-debug-toolbar
, wtedy atakujący mógł wykonać własny SQL, który mógł być szczególnie zły, jeśli deweloperzy łączą się do bazy danych kontem superusera.
settings.ALLOWED_HOSTS
jest teraz walidowane bez względu na DEBUG
. Dla wygody, jeśli ALLOWED_HOSTS
jest puste i DEBUG=True
, następujące wariacje localhosta są dopuszczone ['localhost', '127.0.0.1', '::1']
. Jeśli twoje lokalne ustawienia mają twoją produkcyjną wartość ALLOWED_HOSTS
, musisz teraz ją ominąć, aby uzyskać wypisane wartości fallback.