우분투에서 여러 장고 취약점이 수정되었습니다.
장고는 파이썬으로 작성된 강력한 오픈소스 웹 프레임워크입니다. 웹 기반 소프트웨어 제작을 위한 강력하고 적응력 있는 프레임워크를 제공하여 웹 애플리케이션 제작 프로세스를 단순화하고 가속화하기 위한 것입니다. 우분투 보안 업데이트에 따르면 2023년에 발견된 몇 가지 장고 취약점이 여러 버전의 우분투 릴리스에서 패치된 것으로 밝혀졌습니다. 시스템을 안전하게 유지하려면 가능한 한 빨리 패키지를 새 버전으로 업데이트하는 것이 좋습니다.
우분투에서 해결된 Django 취약점
CVE-2023-43665
패치된 날짜: 10월 4일, 2023
Wenchao Li는 지나치게 긴 HTML 입력을 올바르게 처리하지 못하는 Django 자르기 기능의 문제를 확인했습니다. 원격 공격자가 이 취약점을 악용하여 장고에서 과도한 리소스 소비를 유발하여 잠재적으로 서비스 거부를 일으킬 수 있습니다.
CVE-2023-41164
패치된 날짜: 2023년 9월 18일
장고에서 광범위한 유니코드 문자가 포함된 특정 URI를 잘못 처리하는 취약점이 발견되었습니다. 이 결함은 잠재적으로 원격 공격자가 악용하여 장고가 과도한 리소스를 소비하거나 충돌을 일으켜 서비스 거부를 유발하도록 유도할 수 있습니다.
CVE-2023-36053
패치된 날짜: 7월 5일, 2023
윤석찬 님은 장고가 특정 정규식을 처리하는 데 문제가 있음을 발견했습니다. 원격 공격자가 이 문제를 악용하여 장고에서 리소스 소비를 유발하여 잠재적으로 서비스 거부를 일으킬 수 있습니다.
CVE-2023-31047
패치된 날짜: 5월 3일, 2023
Moataz Al-Sharida와 Nawaik은 단일 양식 필드를 통한 여러 파일 업로드를 처리하는 Django의 처리 방식에서 문제를 발견했습니다. 이 취약점은 원격 공격자가 특정 유효성 검사를 우회하기 위해 잠재적으로 악용될 수 있습니다.
CVE-2023-24580
패치된 날짜: 2023년 2월 14일
Jakob Ackermann은 장고가 특정 파일 업로드를 처리하는 데 문제가 있음을 발견했습니다. 원격 공격자가 이 취약점을 악용하여 장고가 리소스를 소비하도록 유도하여 잠재적으로 서비스 거부를 일으킬 수 있습니다.
이러한 취약점에 대한 자세한 내용은 Django 보안 문제 페이지를 참조하세요.
최종 생각
이러한 Django 취약점은 수명이 종료된 운영 체제인 Ubuntu 16.04 및 Ubuntu 18.04를 포함한 다른 Ubuntu 릴리스에서도 패치되었습니다. 따라서 보안 업데이트는 비용 효율적인 옵션이 아닌 Ubuntu Pro 구독을 통해서만 사용할 수 있습니다.
또는 우분투 16.04 및 우분투 18.04를 위한 합리적인 가격의 솔루션인 TuxCare의 수명 주기 연장 지원을 사용하는 것도 고려할 수 있습니다. 수명 종료일 이후 최대 5년 동안 공급업체 수준의 보안 패치를 추가로 제공하므로 안전한 컴퓨팅 환경을 계속 즐길 수 있습니다.
이 글의 출처는 우분투 보안 공지사항에서 확인할 수 있습니다.