فا

‫ اخبار

نتایج جستجو براساس برچسب: «هشدارها راهنمایی امنیتی»
ایجاد‌کننده اطلاع‌رسانی‌ها

Django یک فریمورک وب سطح بالا به زبان پایتون است. این فریمورک در 18 دسامبر 2018 از رفع #‫آسیب‌پذیری با شناسه CVE-2019-19844 با حساسیت بالا (CVSS 9.8) خبر داد.
1 درباره‌ی این آسیب‌پذیری
کوئری استفاده شده در فرم ریست پسورد Django، برای بازیابی حساب‌های منطبق با ایمیلی که درخواست ریست شدن پسورد را دارد، به بزرگ و کوچک بودن حروف حساس نیست. با توجه به اینکه در بازیابی اطلاعات از پایگاه داده معمولا حروف کوچک به بزرگ و بالعکس تبدیل می‌شوند مهاجمی که ایمیل مربوط به یک حساب کاربری را بداند می‌تواند با ایمیلی که در ظاهر از ایمیل آن حساب کاربری متمایز است ولی در عمل (به دلیل تبدیلات Unicode) بعد از تبدیل حروف بزرگ به کوچک و بالعکس برای تطبیق با اطلاعات پایگاه داده دیگر متمایز نخواهد بود، استفاده کرده و یک توکن معتبر برای ریست کردن پسورد مربوط به حساب کاربری دریافت کند.
2 رفع این آسیب‌پذیری
برای رفع این آسیب پذیری تغییرات زیر در فریمورک Django صورت گرفت:
 در ریست کردن پسورد بعد از بازیابی حساب‌های کاربری مربوط به ایمیل وارد شده در فرم، برابری آدرس ایمیل در پایتون نیز با استفاده از فرآیند شناسایی-مقایسه پیشنهاد شده در «گزارش فنی Unicode » چک می‌شود.
 ایمیلهای مربوط به ریست کردن پسوردها به ایمیلی که از پایگاه داده بازیابی شده است ارسال می‌شود نه ایمیلی که در فرم درخواست ریست وارد شده است.
3 نسخه‌های آسیب‌پذیر
نسخه های 3.0، 2.2 و 1.11 و همچنین master branch این فریمورک آسیب‌پذیر هستند. وصله های امنیتی در آدرس https://www.djangoproject.com/weblog/2019/dec/18/security-releases موجود است. به تمامی کاربران Django توصیه می‌شود تا در اسرع وقت به روز رسانی‌های لازم را انجام دهند.

23 بهمن 1398 برچسب‌ها: اخبار, هشدارها راهنمایی امنیتی