Sicherheitsupdate für Django Web-Framework
Eine Sicherheitslücke im Django Web-Framework ermöglichte Angreifern das Einschleusen von SQL-Befehlen. Aktualisierte Software bessert die Schwachstelle aus.
(Bild: Shutterstock/chanpipat)
In dem Web-Framework Django haben die Entwickler Sicherheitslücken geschlossen, durch die Angreifer SQL-Befehle hätten einschleusen können. Die Entwickler empfehlen allen Nutzern und Administratoren, die bereitstehenden Aktualisierungen so schnell wie möglich zu installieren.
In seiner Sicherheitsmeldung erläutert das Django-Projekt, dass die Trunc(kind) und Extract(lookup_name) Datenbank-Funktionen SQL-Injection ermöglichen hätten können, wenn nicht vertrauenswürdige Daten als kind- respektive lookup_name-Wert dahin von einer Anwendung durchgereicht wurden (CVE-2022-34265, Risiko "hoch"). Sofern Apps diese auf eine Liste sicherer Werte einschränkten, seien sie sicher.
Aktualisierungen stehen zur Verfügung
Die neuen Sicherheitsupdates beheben das Problem. Jedoch schreiben die Entwickler, dass sie Verbesserungspotenzial bei den Datenbank-API-Methoden in Verbindung mit extract und truncate ausgemacht hätten, die für das Django 4.1-Release nützlich seien. Diese Änderungen haben Einfluss auf Dritthersteller-Datenbank-Backends, die den Django 4.1 Release Candidate 1 oder neuer nutzen, bis sie an die API-Änderungen angepasst würden. Django 4.1 ist allerdings noch im Beta-Status.
Die Sicherheitslücken schließen die neuen Versionen Django 3.2.14 und 4.0.6. Außer dem Sicherheitsfix führen die Releasenotes für beide keine weiteren Änderungen auf. Neben den Patches in den github-Repositories für die unterschiedlichen Versionen, auch für die noch in der Entwicklung befindlichen, verlinkt obige Sicherheitsmeldung. Zudem sind komplette tarballs für die beiden Versionen 3.2.14 und 4.0.6 verfügbar.
Wer Django etwa über eine Linux-Distribution installiert hat, sollte die Softwareverwaltung aufrufen und diese nach aktualisierten Paketen suchen lassen.
(dmk)