জ্যাঙ্গো ফিশিং আক্রমণগুলির জন্য কমনমিজলওয়ার প্যাভিং ওয়েতে পুনঃনির্দেশগুলি খুলতে অসদক্ষ -

ফিশিং আক্রমণগুলির জন্য কমনমিলডওয়ার প্যাভিং ওয়েতে পুনর্নির্দেশগুলি খুলতে জ্যাঙ্গো ক্ষতিগ্রস্থ

সুরক্ষা / ফিশিং আক্রমণগুলির জন্য কমনমিলডওয়ার প্যাভিং ওয়েতে পুনর্নির্দেশগুলি খুলতে জ্যাঙ্গো ক্ষতিগ্রস্থ 1 মিনিট পঠিত

জ্যাঙ্গো

জ্যাঙ্গো প্রকল্পের পিছনে বিকাশকারীরা পাইথন ওয়েব কাঠামোর দুটি নতুন সংস্করণ প্রকাশ করেছেন: কমনমিডওয়ারে একটি উন্মুক্ত পুনর্নির্দেশের দুর্বলতার বিষয়ে আন্দ্রেস হাগের প্রতিবেদনের পরে জ্যাঙ্গো 1.11.15 এবং জ্যাঙ্গো 2.0.0। দুর্বলতা লেবেল বরাদ্দ করা হয়েছে CVE-2018-14574 এবং প্রকাশিত আপডেটগুলি সাফল্যের সাথে জ্যাঙ্গোর পুরানো সংস্করণগুলিতে উপস্থিত দুর্বলতার সমাধান করে।

জ্যাঙ্গো একটি জটিল ওপেনসোর্স পাইথন ওয়েব কাঠামো যা অ্যাপ্লিকেশন বিকাশকারীদের জন্য ডিজাইন করা হয়েছে। এটি ওয়েব বিকাশকারীদের সমস্ত মৌলিক কাঠামো সরবরাহ করে যাতে তাদের বেসিকগুলি পুনরায় লেখার প্রয়োজন না হয় সে জন্য বিশেষভাবে এটি নির্মিত হয়েছে। এটি বিকাশকারীদের কেবলমাত্র তাদের নিজস্ব অ্যাপ্লিকেশন কোড বিকাশে ফোকাস করতে দেয়। কাঠামোটি নিখরচায় এবং ব্যবহারের জন্য উন্মুক্ত। এটি পৃথক প্রয়োজন পূরণ করতে নমনীয় এবং দৃ security় সুরক্ষা সংজ্ঞা এবং সংশোধনগুলি বিকাশকারীদের তাদের প্রোগ্রামগুলিতে সুরক্ষা ত্রুটিগুলি পরিষ্কার করতে সহায়তা করার জন্য অন্তর্ভুক্ত করে।

হুগের প্রতিবেদন অনুসারে, 'django.middleware.common.CommonMiddleware' এবং 'অ্যাপ্লিকেশন END_SLASH' সেটিংস একই সাথে চলতে থাকলে দুর্বলতা কাজে লাগানো হয়। যেহেতু বেশিরভাগ কন্টেন্ট ম্যানেজমেন্ট সিস্টেমগুলি এমন একটি প্যাটার্ন অনুসরণ করে যেখানে তারা কোনও ইউআরএল স্ক্রিপ্ট গ্রহণ করে যা স্ল্যাশের সাথে শেষ হয়, যখন এই জাতীয় দূষিত URL অ্যাক্সেস করা হয় (যা স্ল্যাশের মধ্যেও শেষ হয়), এটি অ্যাক্সেস করা সাইট থেকে অন্য দূষিত সাইটে পুনর্নির্দেশের কারণ হতে পারে যার মাধ্যমে কোনও দূরবর্তী আক্রমণকারী সন্দেহহীন ব্যবহারকারীর উপর ফিশিং এবং স্ক্যামিং আক্রমণ করতে পারে।

এই দুর্বলতার ফলে জ্যাঙ্গো মাস্টার শাখা, জ্যাঙ্গো ২.১, জাজানো ২.০ এবং জাজানো ১.১১ প্রভাব পড়ে। যেহেতু জাজানো ১.১০ এবং তার চেয়ে বেশি পুরানো আর সমর্থিত নয়, বিকাশকারীরা সেই সংস্করণগুলির জন্য একটি আপডেট প্রকাশ করেনি। জেনেরিক স্বাস্থ্যকর আপগ্রেডগুলি ব্যবহারকারীরা এখনও এই জাতীয় পুরানো সংস্করণগুলি ব্যবহার করার জন্য প্রস্তাবিত। সম্প্রতি প্রকাশিত আপডেটগুলি জ্যাঙ্গো ২.০ এবং জ্যাঙ্গো ১.১১ এর দুর্বলতার সমাধান করে, জ্যাঙ্গো ২.১-এর জন্য এখনও অপেক্ষারত একটি আপডেট রয়েছে।

জন্য প্যাচ 1.11 , ২.০ , 2.1 , এবং মাস্টার রিলিজ শাখাগুলি সম্পূর্ণ রিলিজ ছাড়াও জারি করা হয়েছে জ্যাঙ্গো সংস্করণ 1.11.15 ( ডাউনলোড | চেকসামস ) এবং জ্যাঙ্গো সংস্করণ 2.0.8 ( ডাউনলোড | চেকসামস )। ব্যবহারকারীরা হয় তাদের সিস্টেমগুলি প্যাচ করতে, তাদের সিস্টেমগুলিকে সংশ্লিষ্ট সংস্করণে আপগ্রেড করতে বা সর্বশেষতম সুরক্ষা সংজ্ঞাগুলিতে একটি সম্পূর্ণ সিস্টেম আপগ্রেড করার পরামর্শ দেয়। এই আপডেটগুলি এর মাধ্যমেও উপলব্ধ পরামর্শদাতা জাজানো প্রকল্পের ওয়েবসাইটে প্রকাশিত।