Sicherheitsupdate für Django 1.8 und 1.9 veröffentlicht

Grund für das Update des Webframeworks ist eine Schwachstelle, die im Zusammenspiel mit Google Analytics Djangos CSRF-Schutz angreifbar macht. Das aktuelle Django 1.10 ist nicht betroffen, und ältere Varianten als 1.8 erhalten keine Security-Patches mehr.

In Pocket speichern vorlesen Druckansicht
Sicherheitsupdate für Django 1.8 und 1.9 veröffentlicht
Lesezeit: 1 Min.
Von
  • Rainald Menge-Sonnentag

Die Macher des in Python geschriebenen Webframeworks Django haben Version 1.9.10 und 1.8.15 als Security-Patches für die jeweiligen Releasestränge veröffentlicht. Grund ist eine Schwachstelle im Zusammenspiel von Google Analytics und Djangos Cookie-Parser. Dadurch können Angreifer auf den betroffenen Sites beliebige Cookies setzen und Djangos CSRF-Schutz (Cross-Site Request Forgery) aushebeln. Mit CSRF können Angreifer Benutzern Requests unterschieben, ohne dabei Spuren zu hinterlassen.

Weitere Details stehen im Blogbeitrag. Wer Djangos 1.8- oder 1.9-Zweig verwendet, findet in den jeweiligen GitHub-Repositories die passenden Patches. Die Releases sind als Tarballs im Blogbeitrag verlinkt. Das im August erschienene Django 1.10 hat die Schwachstelle nicht. Versionen bis 1.7 erhalten keine Security-Updates mehr.

Siehe dazu auf heise Developer:

(rme)