綠盟科技

400-818-6868

安全研究

威脅通告
【威脅通告】Django JSONField/HstoreField SQL 注入漏洞(CVE-2019-14234)


綜述

近日,Django 官方發布安全通告公布了一個 SQL 注入漏洞(CVE-2019-14234)。

遠程攻擊者可能向受影響的應用程序發送一個精心制作的字典,以**kwargs形式傳遞給QuerySet.filter(),當對 django.contrib.postgres.fields.JSONField 進行鍵/索引查找,或對 django.contrib.postgres.fields.HStoreField 進行鍵查找時可能會産生 SQL 注入。成功地利用此漏洞可以讓遠程攻擊者讀取、删除、修改數據庫中的數據。

參考連接:

http://3ccp.zhongte84806.cn


綠盟科技預警級别:【藍色】

級别定義請參考後文綠盟科技安全預警定級說明部分


受影響的版本

  • Django 主開發分支
  • Django 2.2.x < 2.2.4
  • Django 2.1.x < 2.1.11
  • Django 1.11.x < 1.11.23


不受影響的版本

  • Django 2.2.4
  • Django 2.1.11
  • Django 1.11.23


解決方案:

Django 官方已經發布新版本修複了上述漏洞,請受影響的用戶盡快升級進行防護。

Django 2.2.4下載地址:

http://8wzg.zhongte84806.cn

Django 2.1.11 下載地址

http://4csl0.zhongte84806.cn

Django 1.11.23 下載地址:

http://iq2b7u5.zhongte84806.cn

參考鍊接:

http://flwy.zhongte84806.cn


綠盟科技安全預警定級說明

級别 級别說明
紅色 影響範圍極大,危害極高,利用難度低
橙色 影響範圍較廣,危害嚴重,利用難度較低
黃色 影響範圍可控,危害程度可控,利用難度較高
藍色 影響較小,危害程度較小,利用條件苛刻


聲 明

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的後果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部内容。未經綠盟科技允許,不得任意修改或者增減此安全公告内容,不得以任何方式将其用于商業目的。

 

關于綠盟科技

北京神州綠盟信息安全科技股份有限公司(簡稱綠盟科技)成立于2000年4月,總部位于北京。在國内外設有30多個分支機構,為政府、運營商、金融、能源、互聯網以及教育、醫療等行業用戶,提供具有核心競争力的安全産品及解決方案,幫助客戶實現業務的安全順暢運行。

基于多年的安全攻防研究,綠盟科技在網絡及終端安全、互聯網基礎安全、合規及安全管理等領域,為客戶提供入侵檢測/防護、抗拒絕服務攻擊、遠程安全評估以及Web安全防護等産品以及專業安全服務。

北京神州綠盟信息安全科技股份有限公司于2014年1月29日起在深圳證券交易所創業闆上市,股票簡稱:綠盟科技,股票代碼:300369。


浏覽次數:

關 閉