Django 1.3.7, 1.4.5, 1.5 rc2 がリリースされました。

このエントリは djangoproject.com の

を訳して、1つにまとめた文章になります。

記事をまとめた背景としては Django 1.3.6, 1.4.4, 1.5 rc2 がリリースされた翌日に、パッケージング上の問題が発覚して 1.3.7, 1.4.5 がアップデートとしてリリースされたことがあります。

アップデートリリースのお知らせ

原文: https://www.djangoproject.com/weblog/2013/feb/20/updated-releases-issued/

本日、 Django 開発チームは2つのリリース -- Django 1.3.7 と 1.4.5 -- をリリースしました。先日の 1.3.6 と 1.4.4 リリース (訳注: 詳細は後述) の、パッケージング上の問題を解決しています。

Django 1.3.6 と 1.4.4 リリースには余計な .pyc ファイルが含まれており、これによってあるバージョンの Python で実行した際に "bad magic number" エラーが発生していました。 1.3.7 と 1.4.5 ではこの修正の他にも、プロジェクトテンプレートの settings.py ファイル (manape.py startproject で自動生成されます) での間違ったドキュメントへのリンクを修正しました。

セキュリティリリースのお知らせ

原文: https://www.djangoproject.com/weblog/2013/feb/19/security/

本日、Django 開発チームは複数のリリース -- Django 1.3.6, Django 1.4.4, と Django 1.5 リリース候補版2 をセキュリティプロセスの一環としてリリースしました。

これらのリリースは報告された複数の問題を解決しています。重要な、エンドユーザーには見えない変更が含まれていますので、注意して下記を読んでください。

サマリ

これらのセキュリティリリースは 4 つの問題を解決しています: 1 つは潜在的なフィッシングにつながる問題、1 つは DoS攻撃 (denial-of-service) につながる問題、情報漏えいの問題、そして XML長の脆弱性です。

以下はそれぞれの問題の簡単なサマリと、その解決方法です。

Issue: ホストヘッダポイゾニング: 攻撃者は Django に任意のドメインへのリンクを生成、表示させることができました。これはフィッシング攻撃の一環として使われる恐れがあります。上記のリリースではこの問題を新規の設定 (settings.pyに対するもののことです) を導入することで解決しました。 ALLOWED_HOSTS です。この設定によって応答するドメインのホワイトリストを指定できます。

Important: Django 1.3.6 と 1.4.4 では、 ALLOWED_HOSTS がデフォルトで、すべてのホストに設定されています。開発者が Django のアップグレードの後にすぐ設定する必要があり、これによってセキュリティ上の脆弱性が解決されます。
Issue: フォームセットのDoS脆弱性: Django のフォームセットにおいて、攻撃者はフォームの数のトラッキングを悪用し、DoS攻撃をすることができました。これはデフォルトでのフォームの数が最大で 1000 に設定されることで解決しました。望むのであれば、開発者は依然、手動で最大数を指定することができます。しかし 1000 もあれば誰にでも十分でしょう。
Issue: XML 攻撃: Django のシリアライゼーションフレームワークは、 XMLのエンティティ拡張、外部参照を用いた攻撃に脆弱性がありました。この問題は修正はされましたが、あなたのアプリケーション外の任意の XML をパースするときには、 defusexml Pythonパッケージをみてみることを推奨します。これは Django のシリアライゼーションフレームワークにかぎらず、あなたがどこかしらで XML をパースする際に役立ちます。
Issue: adminヒストリーログからの情報漏えい: Django の admin インタフェースは隠したいであろう情報をヒストリーログを通して公開してしまっていました。これは修正済みです。

原文は各問題の詳細が続きます。そこは訳していないので原文をみてください。

セキュリティリリースのお知らせ

アップデートリリースのお知らせ

セキュリティリリースのお知らせ

サマリ

Comments

New Comment