జంగో
కామన్మిడిల్వేర్లో బహిరంగ దారిమార్పు దుర్బలత్వం గురించి ఆండ్రియాస్ హగ్ ఇచ్చిన నివేదికను అనుసరించి జంగో ప్రాజెక్ట్ వెనుక ఉన్న డెవలపర్లు పైథాన్ వెబ్ ఫ్రేమ్వర్క్ యొక్క రెండు కొత్త వెర్షన్లను విడుదల చేశారు: జంగో 1.11.15 మరియు జంగో 2.0.8. దుర్బలత్వానికి లేబుల్ కేటాయించబడింది CVE-2018-14574 మరియు విడుదల చేసిన నవీకరణలు జంగో యొక్క పాత సంస్కరణల్లో ఉన్న హానిని విజయవంతంగా పరిష్కరిస్తాయి.
జంగో అనేది క్లిష్టమైన ఓపెన్సోర్స్ పైథాన్ వెబ్ ఫ్రేమ్వర్క్, ఇది అప్లికేషన్ డెవలపర్ల కోసం రూపొందించబడింది. అన్ని ప్రాథమిక ఫ్రేమ్వర్క్లను అందించే వెబ్ డెవలపర్ల అవసరాలను తీర్చడానికి ఇది ప్రత్యేకంగా నిర్మించబడింది, తద్వారా వారు ప్రాథమికాలను తిరిగి వ్రాయవలసిన అవసరం లేదు. ఇది డెవలపర్లు తమ స్వంత అప్లికేషన్ యొక్క కోడ్ను అభివృద్ధి చేయడంపై మాత్రమే దృష్టి పెట్టడానికి అనుమతిస్తుంది. ఫ్రేమ్వర్క్ ఉచితం మరియు ఉపయోగించడానికి తెరిచి ఉంది. ఇది వ్యక్తిగత అవసరాలను తీర్చడానికి కూడా అనువైనది మరియు వారి కార్యక్రమాలలో భద్రతా లోపాలను స్పష్టంగా తెలుసుకోవడానికి డెవలపర్లకు సహాయపడటానికి సంస్థ భద్రతా నిర్వచనాలు మరియు దిద్దుబాట్లను కలిగి ఉంటుంది.
హగ్ నివేదించినట్లుగా, “django.middleware.common.CommonMiddleware” మరియు “APPEND_SLASH” సెట్టింగులు ఒకేసారి నడుస్తున్నప్పుడు బలహీనత దోపిడీకి గురవుతుంది. చాలా కంటెంట్ మేనేజ్మెంట్ సిస్టమ్లు స్లాష్తో ముగిసే ఏదైనా URL స్క్రిప్ట్ను అంగీకరించే నమూనాను అనుసరిస్తుండటంతో, అటువంటి హానికరమైన URL యాక్సెస్ చేయబడినప్పుడు (ఇది స్లాష్లో కూడా ముగుస్తుంది), ఇది యాక్సెస్ చేసిన సైట్ నుండి మరొక హానికరమైన సైట్కు దారి మళ్లించగలదు. దీని ద్వారా రిమోట్ దాడి చేసేవాడు సందేహించని వినియోగదారుపై ఫిషింగ్ మరియు స్కామింగ్ దాడులను చేయగలడు.
ఈ దుర్బలత్వం జంగో మాస్టర్ బ్రాంచ్, జంగో 2.1, జంగో 2.0 మరియు జంగో 1.11 పై ప్రభావం చూపుతుంది. జంగో 1.10 మరియు అంతకంటే ఎక్కువ వయస్సు వారికి మద్దతు ఇవ్వనందున, డెవలపర్లు ఆ సంస్కరణల కోసం నవీకరణను విడుదల చేయలేదు. అటువంటి పాత సంస్కరణలను ఇప్పటికీ ఉపయోగిస్తున్న వినియోగదారులకు సాధారణ ఆరోగ్యకరమైన నవీకరణలు సిఫార్సు చేయబడ్డాయి. ఇప్పుడే విడుదల చేసిన నవీకరణలు జంగో 2.0 మరియు జంగో 1.11 లోని దుర్బలత్వాన్ని పరిష్కరిస్తాయి, జంగో 2.1 కోసం నవీకరణ ఇంకా పెండింగ్లో ఉంది.
కోసం పాచెస్ 1.11 , 2.0 , 2.1 , మరియు మాస్టర్ లో మొత్తం విడుదలలకు అదనంగా విడుదల శాఖలు జారీ చేయబడ్డాయి జంగో వెర్షన్ 1.11.15 ( డౌన్లోడ్ | చెక్సమ్స్ ) మరియు జంగో వెర్షన్ 2.0.8 ( డౌన్లోడ్ | చెక్సమ్స్ ). వినియోగదారులు తమ సిస్టమ్లను ప్యాచ్ చేయమని, వారి సిస్టమ్లను సంబంధిత వెర్షన్లకు అప్గ్రేడ్ చేయాలని లేదా మొత్తం సిస్టమ్ అప్గ్రేడ్ను తాజా భద్రతా నిర్వచనాలకు చేయమని సలహా ఇస్తారు. ఈ నవీకరణలు కూడా అందుబాటులో ఉన్నాయి సలహా జంగో ప్రాజెక్ట్ వెబ్సైట్లో ప్రచురించబడింది.
