zurück zum Artikel

Grund für das Update des Webframeworks ist eine Schwachstelle, die im Zusammenspiel mit Google Analytics Djangos CSRF-Schutz angreifbar macht. Das aktuelle Django 1.10 ist nicht betroffen, und ältere Varianten als 1.8 erhalten keine Security-Patches mehr.

Die Macher des in Python geschriebenen Webframeworks Django haben Version 1.9.10 und 1.8.15 als Security-Patches für die jeweiligen Releasestränge veröffentlicht. Grund ist eine Schwachstelle im Zusammenspiel von Google Analytics und Djangos Cookie-Parser. Dadurch können Angreifer auf den betroffenen Sites beliebige Cookies setzen und Djangos CSRF-Schutz (Cross-Site Request Forgery) aushebeln. Mit CSRF können Angreifer Benutzern Requests unterschieben, ohne dabei Spuren zu hinterlassen.

Weitere Details stehen im Blogbeitrag [1]. Wer Djangos 1.8- [2] oder 1.9-Zweig [3] verwendet, findet in den jeweiligen GitHub-Repositories die passenden Patches. Die Releases sind als Tarballs im Blogbeitrag verlinkt. Das im August erschienene [4] Django 1.10 hat die Schwachstelle nicht. Versionen bis 1.7 erhalten keine Security-Updates mehr.

Siehe dazu auf heise Developer:

• Sichere Java-Webanwendungen, Teil 2: Cross-Site Request Forgery [5]

(rme [6])

URL dieses Artikels:
https://www.heise.de/-3332611

Links in diesem Artikel:
[1] https://www.djangoproject.com/weblog/2016/sep/26/security-releases/
[2] https://github.com/django/django/commit/6118ab7d0676f0d622278e5be215f14fb5410b6a
[3] https://github.com/django/django/commit/d1bc980db1c0fffd6d60677e62f70beadb9fe64a
[4] https://www.heise.de/news/Django-1-10-bringt-Volltextsuche-fuer-PostgreSQL-3283422.html
[5] https://www.heise.de/ratgeber/Sichere-Java-Webanwendungen-Teil-2-Cross-Site-Request-Forgery-2303228.html
[6] mailto:rme@ix.de

Copyright © 2016 Heise Medien