Die Django-Community hat am 4. Dezember 2024 drei neue Sicherheitsreleases veröffentlicht: Django 5.1.4, Django 5.0.10 und Django 4.2.17. Diese Updates beheben zwei kürzlich entdeckte Sicherheitslücken, die sowohl die Stabilität als auch die Sicherheit von Anwendungen gefährden könnten. Nutzern wird dringend empfohlen, ihre Django-Installationen umgehend zu aktualisieren.
Details zu den Sicherheitslücken
Die erste Schwachstelle, CVE-2024-53907, betrifft die Funktion strip_tags() und den zugehörigen Template-Filter striptags. Diese Methoden können durch speziell manipulierte Eingaben, die große Sequenzen verschachtelter und unvollständiger HTML-Entitäten enthalten, anfällig für Denial-of-Service-Angriffe (DoS) werden. Dieser Fehler wurde als „moderat“ gemäß der Django-Sicherheitsrichtlinie eingestuft. Der Community-Mitglied jiangniao hat die Schwachstelle gemeldet.
Die zweite, schwerwiegendere Schwachstelle, CVE-2024-53908, ermöglicht eine SQL-Injection im Zusammenhang mit der Verwendung von HasKey(lhs, rhs) auf Oracle-Datenbanken. Der Angriff tritt auf, wenn nicht vertrauenswürdige Daten direkt in die lhs-Komponente eingefügt werden. Anwendungen, die das jsonfield.has_key-Lookup durch die __-Syntax verwenden, sind von dieser Schwachstelle nicht betroffen. Seokchan Yoon wird für die Meldung dieser Sicherheitslücke gedankt. Die Django-Sicherheitsrichtlinie stuft dieses Problem als „hoch“ ein.
Betroffene Versionen und Lösung
Die Schwachstellen betreffen die Hauptentwicklungszweige von Django sowie die unterstützten Versionen 5.1, 5.0 und 4.2. Für alle betroffenen Versionen wurden Patches bereitgestellt, die die Sicherheitslücken beheben. Die neuen Releases, Django 5.1.4, 5.0.10 und 4.2.17, stehen bereits zum Download bereit.
Handlungsempfehlung
Da beide Schwachstellen erhebliche Risiken bergen, ist es essenziell, die Updates so schnell wie möglich einzuspielen. Insbesondere Betreiber von Anwendungen, die auf Oracle-Datenbanken basieren oder Eingaben von Endnutzern verarbeiten, sollten den Updates höchste Priorität einräumen.
Die Django-Community bedankt sich bei den Sicherheitsforschern für die verantwortungsvolle Offenlegung der Schwachstellen und bei allen Nutzern für ihre Wachsamkeit in Sicherheitsfragen. Weitere Informationen, einschließlich der Patches, finden sich im offiziellen Django-Sicherheitsbulletin.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: