Django 1.3.7, 1.4.5, 1.5 rc2 がリリースされました。

このエントリは djangoproject.com の

を訳して、1つにまとめた文章になります。

記事をまとめた背景としては Django 1.3.6, 1.4.4, 1.5 rc2 がリリースされた翌日に、 パッケージング上の問題が発覚して 1.3.7, 1.4.5 がアップデートとしてリリースされたことがあります。

アップデートリリースのお知らせ

原文: https://www.djangoproject.com/weblog/2013/feb/20/updated-releases-issued/

本日、 Django 開発チームは2つのリリース -- Django 1.3.7 と 1.4.5 -- をリリースしました。 先日の 1.3.6 と 1.4.4 リリース (訳注: 詳細は後述) の、パッケージング上の問題を解決しています。

Django 1.3.6 と 1.4.4 リリースには余計な .pyc ファイルが含まれており、これによって あるバージョンの Python で実行した際に "bad magic number" エラーが発生していました。 1.3.7 と 1.4.5 ではこの修正の他にも、 プロジェクトテンプレートの settings.py ファイル (manape.py startproject で自動生成されます) での間違ったドキュメントへのリンクを修正 しました。

セキュリティリリースのお知らせ

原文: https://www.djangoproject.com/weblog/2013/feb/19/security/

本日、Django 開発チームは複数のリリース -- Django 1.3.6, Django 1.4.4, と Django 1.5 リリース候補版2 をセキュリティプロセスの一環としてリリースしました。

これらのリリースは報告された複数の問題を解決しています。重要な、エンドユーザーには見えない変更が含まれていますので、注意して下記を読んでください。

サマリ

これらのセキュリティリリースは 4 つの問題を解決しています: 1 つは潜在的なフィッシングにつながる 問題、1 つは DoS攻撃 (denial-of-service) につながる問題、情報漏えいの問題、そして XML長の 脆弱性です。

以下はそれぞれの問題の簡単なサマリと、その解決方法です。

  • Issue: ホストヘッダポイゾニング: 攻撃者は Django に任意のドメインへのリンクを生成、表示させること ができました。これはフィッシング攻撃の一環として使われる恐れがあります。上記のリリースではこの 問題を新規の設定 (settings.pyに対するもののことです) を導入することで解決しました。 ALLOWED_HOSTS です。この設定によって応答するドメインのホワイトリストを指定できます。

    Important: Django 1.3.6 と 1.4.4 では、 ALLOWED_HOSTS がデフォルトで、すべてのホストに設定 されています。開発者が Django のアップグレードの後にすぐ設定する必要があり、これによって セキュリティ上の脆弱性が解決されます。

  • Issue: フォームセットのDoS脆弱性: Django のフォームセットにおいて、攻撃者はフォームの数の トラッキングを悪用し、DoS攻撃をすることができました。これはデフォルトでのフォームの数が 最大で 1000 に設定されることで解決しました。望むのであれば、開発者は依然、手動で最大数を指定 することができます。しかし 1000 もあれば誰にでも十分でしょう。

  • Issue: XML 攻撃: Django のシリアライゼーションフレームワークは、 XMLのエンティティ拡張、 外部参照を用いた攻撃に脆弱性がありました。この問題は修正はされましたが、あなたの アプリケーション外の任意の XML をパースするときには、 defusexml Pythonパッケージをみてみること を推奨します。これは Django のシリアライゼーションフレームワークにかぎらず、あなたがどこかしら で XML をパースする際に役立ちます。

  • Issue: adminヒストリーログからの情報漏えい: Django の admin インタフェースは隠したいであろう 情報をヒストリーログを通して公開してしまっていました。これは修正済みです。

原文は各問題の詳細が続きます。そこは訳していないので 原文 をみてください。

Currently unrated
  • Share

Comments

There are currently no comments

New Comment

* Please fill all required form field, thanks!