Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
26/11/2015
Vulnerabilidad en Django solucionada
Se han publicado nuevas versiones que afectan a varias ramas de Django.Riesgo: Medio
La vulnerabilidad permitía, a usuarios remotos, obtener información sensible del sistema.
El error se producía en el tratamiento del formato de fechas, concretamente en la función "django.utils.formats.get_format()". Si se utilizaba una clave de configuración en lugar de un formato de fecha, se obtenía la información.
Versiones anteriores a la 1.7.11, 1.8.7 o 1.9 Release Candidate 2
Referencias:CVE-2015-8213
Solución:Actualizar a la versión correspondiente: Django 1.7.11, 1.8.7 o 1.9 Release Candidate 2
- Django 1.9rc2: www.djangoproject.com/m/releases/1.9/Django-1.9rc2.tar.gz
- Django 1.8.7: www.djangoproject.com/m/releases/1.8/Django-1.8.7.tar.gz
- Django 1.7.11: www.djangoproject.com/m/releases/1.7/Django-1.7.11.tar.gz
Más información:
Security releases issued: 1.9rc2, 1.8.7, 1.7.11
Fuente: Hispasec una-al-dia