La Django Software Foundation ha publicado nuevas versiones de las
ramas 1.7, 1,8 y 1.9 de Django, que solucionan una vulnerabilidad que podría
permitir a usuarios remotos obtener información sensible del sistema.
Django es un framework de código abierto basado en Python para el desarrollo de sitios web siguiendo el patrón MVC (Modelo-Vista-Controlador). Fue publicado por primera vez en 2005, y desde entonces su uso ha experimentado un considerable crecimiento entre los desarrolladores. Se compone de una serie de herramientas para facilitar la creación de páginas Web, siguiendo las directrices 'DRY' (Do not repeat yourself – No se repita) evitando redundancias de código y consecuentemente reduciendo tiempo y esfuerzo.
La vulnerabilidad, identificada con CVE-2015-8213, se debe a un error
en el tratamiento del formato de las fechas relacionado con la plantilla del
filtro de fecha "date" en la función
"django.utils.formats.get_format()". Un usuario malicioso podría
obtener configuraciones de la aplicación especificando una clave de configuración
en vez de un formato de fecha. Por ejemplo: 'SECRET_KEY' en vez de 'd/m/A'.
Recomendación
Django Software Foundation ha publicado las versiones Django 1.7.11,
1.8.7 y 1.9 Release Candidate 2 que solucionan esta vulnerabilidad. Las
actualizaciones están disponibles a través de la página oficial de Django:
- Django 1.9rc2 https://www.djangoproject.com/m/releases/1.9/Django-1.9rc2.tar.gz
- Django 1.8.7 https://www.djangoproject.com/m/releases/1.8/Django-1.8.7.tar.gz
- Django 1.7.11 https://www.djangoproject.com/m/releases/1.7/Django-1.7.11.tar.gz
- Security releases issued: 1.9rc2, 1.8.7, 1.7.11 https://www.djangoproject.com/weblog/2015/nov/24/security-releases-issued/
Fuente: Hispasec