[pyar] Django soluciona vulnerabilidad de acceso a datos de configuración

carlos carlosvsgm en gmail.com
Jue Nov 26 15:19:40 ART 2015

Mensaje anterior: [pyar] Ajax en Python
Próximo mensaje: [pyar] PyInstaller y ejecutable recursivamente molesto
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Hola a todos:
                        Les envio copia del mail del sitio   
www.hispasec.com <http://www.hispasec.com> que me parecio interesante

saludos

Carlos


 Django soluciona vulnerabilidad de acceso a datos de configuración
 ------------------------------------------------------------------

La Django Software Foundation ha publicado nuevas versiones de las ramas
1.7, 1,8 y 1.9 de Django, que solucionan una vulnerabilidad que podría
permitir a usuarios remotos obtener información sensible del sistema.

Django es un framework de código abierto basado en Python para el
desarrollo de sitios web siguiendo el patrón MVC 
(Modelo-Vista-Controlador).
Fue publicado por primera vez en 2005, y desde entonces su uso ha
experimentado un considerable crecimiento entre los desarrolladores.
Se compone de una serie de herramientas para facilitar la creación
de páginas Web, siguiendo las directrices 'DRY' (Do not repeat
yourself - No se repita) evitando redundancias de código y
consecuentemente reduciendo tiempo y esfuerzo.

La vulnerabilidad, identificada con CVE-2015-8213, se debe a un error en
el tratamiento del formato de las fechas relacionado con la plantilla
del filtro de fecha "date" en la función 
"django.utils.formats.get_format()".
Un usuario malicioso podría obtener configuraciones de la aplicación
especificando una clave de configuración en vez de un formato de fecha.
Por ejemplo: 'SECRET_KEY' en vez de 'd/m/A'.

Django Software Foundation ha publicado las versiones Django 1.7.11,
1.8.7 y 1.9 Release Candidate 2 que solucionan esta vulnerabilidad. Las
actualizaciones están disponibles a través de la página oficial de
Django:
Django 1.9rc2
https://www.djangoproject.com/m/releases/1.9/Django-1.9rc2.tar.gz
Django 1.8.7
https://www.djangoproject.com/m/releases/1.8/Django-1.8.7.tar.gz
Django 1.7.11
https://www.djangoproject.com/m/releases/1.7/Django-1.7.11.tar.gz

Más información:

Security releases issued: 1.9rc2, 1.8.7, 1.7.11
https://www.djangoproject.com/weblog/2015/nov/24/security-releases-issued/

 -------------------------------------------------------------------
  Hispasec - una-al-día                                  25/11/2015
  Todos los días una noticia de seguridad          www.hispasec.com 
<http://www.hispasec.com>
  Síguenos en Twitter: http://twitter.com/unaaldia
  Noticia en formato HTML: 
http://unaaldia.hispasec.com/2015/11/django-soluciona-vulnerabilidad-de.html
 -------------------------------------------------------------------

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2015/11/django-soluciona-vulnerabilidad-de.html#comments

<https://www.djangoproject.com/weblog/2015/nov/24/security-releases-issued/>


Antonio Ropero
antonior en hispasec.com <mailto:antonior en hispasec.com>
Twitter: @aropero


------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20151126/492807ca/attachment.html>

Mensaje anterior: [pyar] Ajax en Python
Próximo mensaje: [pyar] PyInstaller y ejecutable recursivamente molesto
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the pyar mailing list