ФорумПрограммированиеPythonDjango → Уязвимости в джанго

Уязвимости в джанго

  • master

    Сообщения: 3236 Репутация: N Группа: Джедаи

    Spritz 22 апреля 2014 г. 16:41

    вы ведь читаете джанго rss?
    я нет
    но вот https://www.djangoproject.com/weblog/2014/apr/21/security/
    - неожиданное выполнение кода при использовании reverse
    - некорректное кеширование некоторых страниц при использовании CSRF кукисов
    - не всегда производится явное конвертирование полей в случае с MySQL
    не всё полезно, что в swap полезло
  • Ivan.

    Сообщения: 494 Репутация: N Группа: Адекваты

    Spritz 22 апреля 2014 г. 18:17, спустя 1 час 35 минут 12 секунд

    Спасибо
  • phpdude

    Сообщения: 26624 Репутация: N Группа: в ухо

    Spritz 22 апреля 2014 г. 21:03, спустя 2 часа 46 минут 9 секунд

    интересные проблемки, спасибо что отпостил :-)

    1) опасная хуйня конечно, но как правило библиотеки написаны так что при импорте не производят никаких действий, а тупо импортируются. Тем более ничего с request object'ом. Так что не так страшен черт как говоорится :-)

    И правда добавили препопулейшен возможных views исходя из импортированных application's. хорошее решение.
    [1.7.x] Fixed a remote code execution vulnerabilty in URL reversing. · django/[email protected] [github.com]

    2) Вот тут я вообще не понял суть проблемы ... тоже мало применимо на мой взгляд, по той причине что guest's редко что важное могут делать на сайте, а спиздить ксрф только для них можно. Ну спиздил и спиздил и толку то. Как факт - да, но хз как это применить. Если у вас есть идеи, давайте побазарим))

    3) тут уже айайайа, похоже на возможную sql injection. Опять же несовсем понятно как с этим работать, в недрах орм жанги не ковырялся, опасно ли это - хз. по факту там проблема что тип жестко не прокастован, но опять же user-input злой может быть только в виде string/unicode. а string в дальнейшем виде все равно будет заэскейпен наверняка. Так что хз опасно ли, поэтому видимо queries unexpected results :-)))) ошибка есть, валидацию проебали, а толку наверное от нее нет как таковой.

    Тут еще к слову про "невсегда производится явное конвертирование полей" - слишком желто. просто пропущена валидация жесткая в типах полей: FilePathField, GenericIPAddressField, IPAddressField.

    в комите видно фикс - тупо привели к строке и все. сам фикс какбэ намекает что ничего страшного, но лучше определенность чем неопределенность :-D

    [1.7.x] Fixed queries that may return unexpected results on MySQL due… · django/[email protected] [github.com]

    Сапожник без сапог
  • phpdude

    Сообщения: 26624 Репутация: N Группа: в ухо

    Spritz 22 апреля 2014 г. 21:08, спустя 5 минут 32 секунды

    пункт 1) страшно, если есть какие то жесткие либы, которые просто при импорте могут тебе систему снести (утрировано). в реальности сомневаюсь что такие вообще есть, при импорте как правило минимальная инициализация и все. никакой user-input они все равно не поддержат, так как reverse выполняется без контекста запроса. поэтому по большому счету похуй на эту уязвимость. не опасна. уязвимость сродня владению пистолетом - пистолет есть, и ты можем им выстрелить себе в почку, но ты должен сам выстрелить все равно)))

    в ROR были куда более ржачные секьюрити проблемы. через которые его ломал хомяков)) там вообще песня конечно была ... с магией перестарались

    Сапожник без сапог
  • adw0rd

    Сообщения: 22905 Репутация: N Группа: в ухо

    Spritz 24 апреля 2014 г. 4:29, спустя 1 день 7 часов 20 минут

    Ага, дуд все разъяснил

    Спустя 35 сек.

    ps. @master, спасибо за пост, только от тебя об этом узнал

    adw/0
  • master

    Сообщения: 3236 Репутация: N Группа: Джедаи

    Spritz 17 мая 2014 г. 4:10, спустя 22 дня 23 часа 41 минуту

    Ещё 2 новые:

    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3730
    The django.util.http.is_safe_url function in Django 1.4 before 1.4.13, 1.5 before 1.5.8, 1.6 before 1.6.5, and 1.7 before 1.7b4 does not properly validate URLs, which allows remote attackers to conduct open redirect attacks via a malformed URL, as demonstrated by "http:\\\djangoproject.com."

    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1418
    Django 1.4 before 1.4.13, 1.5 before 1.5.8, 1.6 before 1.6.5, and 1.7 before 1.7b4 does not properly include the (1) Vary: Cookie or (2) Cache-Control header in responses, which allows remote attackers to obtain sensitive information or poison the cache via a request from certain browsers.

    или вот, для убунту: http://www.ubuntu.com/usn/usn-2212-1/
    не всё полезно, что в swap полезло
  • phpdude

    Сообщения: 26624 Репутация: N Группа: в ухо

    Spritz 17 мая 2014 г. 4:19, спустя 8 минут 33 секунды

    @master, эт разные проблемы вродь. фиксы разные по крайней мере если память не изменяет ссылаются.

    Сапожник без сапог
  • master

    Сообщения: 3236 Репутация: N Группа: Джедаи

    Spritz 17 мая 2014 г. 4:31, спустя 12 минут 4 секунды

    @phpdude, нет, это свежие
    не всё полезно, что в swap полезло
  • phpdude

    Сообщения: 26624 Репутация: N Группа: в ухо

    Spritz 17 мая 2014 г. 4:32, спустя 51 секунду

    @phpdude, нет, это свежие

    @master, ну я и имею ввиду что свежие)

    Сапожник без сапог
  • master

    Сообщения: 3236 Репутация: N Группа: Джедаи

    Spritz 17 мая 2014 г. 6:33, спустя 2 часа 1 минуту 4 секунды

    @phpdude, да, сразу не дописал, что это новые.

    Это новости из двух рассылок: USN (http://www.ubuntu.com/usn/atom.xml) и NVD (http://nvd.nist.gov/download/nvd-rss.xml)
    не всё полезно, что в swap полезло
  • phpdude

    Сообщения: 26624 Репутация: N Группа: в ухо

    Spritz 17 мая 2014 г. 7:45, спустя 1 час 12 минут 15 секунд

    @master, да на я django-developers подписан. новости уже 3 или 4 дня)

    Сапожник без сапог

Пожалуйста, авторизуйтесь, чтобы написать комментарий!