Sicherheitsupdate für Django

Nutzer der aktuellen Django-Version 1.2 sollten ihr System möglichst schnell auf die heute freigegebene Version 1.2.2 aktualisieren. Das empfehlen die Entwickler des freien Python-Frameworks. Ein Fehler in den zum Schutz gegen Cross Site Request Forgery (CSRF) eingebauten Funktionen könne Angreifern deren Umgehung erlauben.

Django 1.2 schreibt einen Zufallswert in ein verstecktes input-Element der Webseite zum und übermittelt ihn ebenfalls per Cookie an den Browser. Die beim Absenden des Formulars übertragenen Werte von Cookie und Eingabefeld vergleicht das Framework, um einen CSRF-Angriff zu entdecken. Für das Einsetzen des input-Elements auf der Website wird ein Template benutzt, das bislang ohne weitere Prüfung den übergebenen Cookie-Wert verwendete. Wer das Cookie manipulierte, konnte dadurch beliebigen Code in der von Django erzeugten Webseite platzieren und dadurch XSS-Angriffe (Cross Site Scripting) ausführen.

Die Entwickler haben diesen Fehler nun in den Release- und Entwicklerversionen behoben. Versionen vor Django 1.2 sind nicht betroffen, da dieser CSRF-Schutz dort noch nicht vorhanden war. (ck)