Django ekibi 5.1.4, 5.0.10 ve 4.2.17 sürümleri için kritik güvenlik güncellemeleri yayınladı.
Bu güncellemeler iki güvenlik açığını giderir: strip_tags() yöntemindeki olası bir hizmet reddi (DoS) saldırısı ve Oracle veritabanlarındaki yüksek önem derecesine sahip SQL enjeksiyon riski.
Etkilenen sürümleri kullanan tüm geliştiricilerin ve sistem yöneticilerinin, uygulamalarının güvenliğini sağlamak için yeni yayımlanan sürümlere güncelleme yapmaları önemle tavsiye edilir.
CVE-2024-53907: strip_tags()’da Olası Hizmet Reddi
Bu güvenlik açığı, DoS saldırısına açık olan Django.utils.html.strip_tags() yöntemini ve striptags şablon filtresini etkiler.
Bu sorun, bu yöntemlerin kapsamlı iç içe geçmiş, tamamlanmamış HTML varlık dizileri içeren girdileri işlediği senaryolarda ortaya çıkar.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Bu tür girdiler işlendiğinde uygulama önemli performans düşüşü yaşayabilir.
Bu güvenlik açığı jiangniao tarafından bildirildi ve Django’nun güvenlik politikasına göre orta düzeyde önem derecesine sahip olarak sınıflandırıldı. Etkilenen sürümler arasında Django main, 5.1, 5.0 ve 4.2 yer alıyor.
CVE-2024-53908: Oracle’da HasKey(lhs, rhs)’de Potansiyel SQL Ekleme
Django.db.models.fields.json modülünün bir parçası olan HasKey aramasında ikinci bir güvenlik açığı tespit edildi.
Oracle veritabanlarında, güvenilmeyen verilerin sol taraftaki (lhs) değeri olarak iletilmesi durumunda bu arama, SQL enjeksiyonu için kullanılabilir. Ancak, jsonfield.has_key aramasını çift alt çizgi (__) sözdizimi aracılığıyla kullanan uygulamalar etkilenmeden kalır.
Bu güvenlik açığı Django güvenlik ekibi tarafından yüksek önem derecesine sahip olarak sınıflandırıldı ve Seokchan Yoon tarafından bildirildi. Önceki sayıda olduğu gibi etkilenen sürümler arasında Django main, 5.1, 5.0 ve 4.2 yer alıyor.
Etkilenen Desteklenen Sürümler
Aşağıdaki tabloda, bu güvenlik açıklarından etkilenen sürümler ve bu sürümde mevcut olan ilgili yama uygulanmış sürümler ayrıntılı olarak verilmektedir:
| Sürüm | Durum | Yamalı Sürüm |
| Django ana | Etkilenen | Yamalı |
| Django 5.1 | Etkilenen | 5.1.4 |
| Django 5.0 | Etkilenen | 5.0.10 |
| Django 4.2 | Etkilenen | 4.2.17 |
Çözünürlük ve Yamalar
Django ekibi, ana geliştirme dalı ve desteklenen eski sürümler (özellikle 5.1, 5.0 ve 4.2) için yamalar yayınlayarak bu sorunları giderdi.
En son güncellemeler (Django 5.1.4, 5.0.10 ve 4.2.17) artık indirilebilir. Güncellemeler, hem CVE-2024-53907 hem de CVE-2024-53908 ile ilişkili güvenlik açıklarını kapsamlı bir şekilde çözmektedir.
Kullanıcılar yamalı sürümlere Django’nun resmi web sitesinden erişebilirler. Sürümler, Sarah Boyce’ye ait PGP anahtarıyla (ID: 3955B19851EA96EF) imzalandı.
Bu riskleri azaltmak için Django kullanıcılarının uygulamalarını derhal en son yamalı sürümlere güncellemeleri önerilir.
Ek olarak geliştiriciler, özellikle Oracle veritabanlarında güvenlik açığı bulunan yöntemlerin veya aramaların kullanımı açısından kod tabanlarını incelemelidir.
Django’nun resmi kanalları aracılığıyla gelecekteki güvenlik sürümleri hakkında bilgi sahibi olmak, uygulamaların güvenliğini ve istikrarını korumak açısından çok önemlidir.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses