Linuxový portál

Vývojový tým, který stojí za projektem Django oznámil vydání nové verze Django 1.2.2, který uzavírá zranitelnost v Python na web framework, který umožnil útočníkovi spustit cross-site scripting (XSS) útok. Využiván je Cross Site Request Forgery (CSRF) systém ochrany, ochrana kódem proti CSFR, která byla přidána do verze Django 1.2.

Tato ochrana generuje náhodně token, který byl vložen do skrytých polí na formulářích a současně nastaví cookie v prohlížeči, kde předkládá formuláře. Hodnoty skrytých polí a cookie slouží pro kontrolu manipulace. Bylo zjištěno, že šablona sloužící k vložení těchto tokenů do formuláře implicitně důvěryhodnou hodnotou cookie do HTML může být zneužita. Útočník by mohl potenciálně manipulovat s cookie a používat je pro vložení kódu, který by mohl provést útok XSS.
 
Ochrana proti Cross Site Request Forgery (CSFR) v Django 1.2 je zcela nová implementace ochrany, která byla již v předchozích verzích Django a to znamená, že předchozí verze nebyly ovlivněny, a proto nejsou dotčeny tímto XSS problémem. Vývojový tým odpovědný za Django doporučuje všem uživatelům, kteří používají Django 1.2, aby provedli aktualizaci na nejnovější verzi Django 1.2.2. Další informace o této aktualizaci zabezpečení naleznete v oznámení o vydání na stránkách projektu, kde je Django 1.2.2 k dispozici ke stažení ze stránek projektu.