Примечания к выпуску Django 1.3.4

Октябрь 17, 2012

Это четвертый релиз в серии Django 1.3.

Отравление заголовка хоста

Некоторые части Django - независимо от приложений, написанных конечным пользователем - используют полные URL, включая доменное имя, которые генерируются из заголовка HTTP Host. Некоторые атаки против этого находятся вне возможностей Django и требуют правильной настройки веб-сервера; документация Django уже некоторое время содержит заметки с рекомендациями пользователям по такой настройке.

Django’s own built-in parsing of the Host header is, however, still vulnerable, as was reported to us recently. The Host header parsing in Django 1.3.3 and Django 1.4.1 – specifically, django.http.HttpRequest.get_host() – was incorrectly handling username/password information in the header. Thus, for example, the following Host header would be accepted by Django when running on validsite.com:

Host: validsite.com:random@evilsite.com

Используя это, злоумышленник может заставить части Django - в частности, механизм сброса пароля - генерировать и показывать пользователям произвольные URL.

Чтобы исправить это, разбор HttpRequest.get_host() был изменен; заголовки хоста, содержащие потенциально опасное содержимое (например, пары имя пользователя/пароль), теперь вызывают исключение django.core.exceptions.SuspiciousOperation.

Подробная информация об этой проблеме была первоначально опубликована в Интернете в виде security advisory.

Вернуться на верх