Django Releases Security Updates to Address Critical Flaw (CVE-2024-42005, CVSS 9.8)
2024/08/09 SecurityOnline — Django 5.0.8/4.2.15 としてセキュリティ・アップデートが発行され、サービス拒否 (DoS) 攻撃や SQL インジェクションなどの、複数の脆弱性が対処された。すべてのユーザーに対して Django チームが強く求めているのは、パッチを適用したバージョンへと、可能な限り早急にアップグレードすることだ。Django は、高水準の Python フレームワークであり、迅速な開発とクリーンで実用的な設計を奨励するものだ。そのため、安全でスケーラブルな Web アプリケーションの構築に広く利用されている。
脆弱性の詳細
- CVE-2024-41989 (CVSS 7.5):この脆弱性は、floatatformat テンプレート・フィルタに影響し、 特定の数値入力を科学記法で処理する際に、過剰なメモリを消費する可能性を持つ。
- CVE-2024-41990 (CVSS 7.5): urlize() および urlizetrunc() テンプレート・フィルタに対する、特定の文字列を含む長大な入力が行われることで、DoS 攻撃を受ける可能性が生じる。
- CVE-2024-41991 (CVSS 7.5):この脆弱性は、AdminURLFieldWidget ウィジェットと共に、 urlize/urlizetrunc テンプレート・フィルタを使用する場合において、大量の Unicode キャラクタが用いられる入力により、DoS 攻撃に悪用される可能性がある。
- CVE-2024-42005 (CVSS 9.8): この脆弱性は、JSONField を持つモデル上の QuerySet.values()/values_list() メソッドに影響する。この脆弱性は、細工された JSON オブジェクトキーによる SQL インジェクション攻撃を可能にし、不正なデータアクセスや不正操作の可能性を生じる。
影響を受けるバージョン
この脆弱性は、以下の Django バージョンに影響する:
- Django main branch
- Django 5.1 (release candidate status)
- Django 5.0
- Django 4.2
解決策
これらのセキュリティ問題に対処するパッチが、Django の main/5.1/5.0/4.2 ブランチに適用された。以下のリリースが tar 形式でダウンロードできる:
推奨事項
すべての Django ユーザーに対して強く推奨されるのは、最新のパッチがキキヨウされた Django 5.0.8/4.2.15 へと、ただちにアップデートすることだ。このアップグレードを適用することで、これらの脆弱性に関連するリスクが軽減され、Django ベースのアプリケーションのセキュリティと完全性を確保できる。
Django に脆弱性が発生です。どれも、DoS 攻撃や SQL インジェクションの対象になるものであり、早急な対策が必要とされます。このブログで Django は初登場です。Wikipedia で調べてみたところ、「Web サーバ上で動作する Python ベースの OSS Web フレームワークであり。MTV (model–template–views) アーキテクチャ・パターンに従う。Django Software Foundation (DSF) により管理されている。Django の主な目的は、複雑なデータベース駆動型 Web サイトの作成を容易にすることにある。このフレームワークは、コンポーネントの再利用性と/プラグイン可能性/コードの削減/結合度の低さ/迅速な開発などの原則を重視する」と記されていました。
IoT OT Security News 
You must be logged in to post a comment.