読者です 読者をやめる 読者になる 読者になる

CentOS 5.3 に Django-1.1.1 をインストールする

django translate rpm

セキュリティアップデートの Django-1.1.1 がリリースされました。
以下から CentOS 用の src.rpm をダウンロードできます。
Django-1.1.1-1.centos.src.rpm 直

src.rpm を用いたインストール方法

ディストリビューションマクロを編集する
# vi /etc/rpm/macros.centos
### distribution macros
%dist .centos

src.rpm をダウンロードしてインストールする
# rpm -ivh Django-1.1.1-1.centos.src.rpm 
   1:Django                 ########################################### [100%]

バイナリ RPM をビルドする
# cd /usr/src/redhat/SPECS/
# rpmbuild -ba Django.spec 
(snip)
書き込み完了: /usr/src/redhat/SRPMS/Django-1.1.1-1.centos.src.rpm
書き込み完了: /usr/src/redhat/RPMS/noarch/Django-1.1.1-1.centos.noarch.rpm
書き込み完了: /usr/src/redhat/RPMS/noarch/Django-doc-1.1.1-1.centos.noarch.rpm
実行中(%clean): /bin/sh -e /var/tmp/rpm-tmp.3084
+ umask 022
+ cd /usr/src/redhat/BUILD
+ cd Django-1.1.1
+ rm -rf /var/tmp/Django-1.1.1-1.centos-root-root
+ exit 0

作成したバイナリ RPM にアップグレードする
# cd /usr/src/redhat/RPMS/noarch/
# rpm -Uvh Django-1.1.1-1.centos.noarch.rpm Django-doc-1.1.1-1.centos.noarch.rpm 
準備中...                ########################################### [100%]
   1:Django                 ########################################### [ 50%]
   2:Django-doc             ########################################### [100%]
# rpm -q Django Django-doc
Django-1.1.1-1.centos
Django-doc-1.1.1-1.centos

以下、本家のセキュリティアップデートの簡単な和訳になります。

セキュリティアップデートリリース

Django プロジェクトはセキュリティ問題を対応するためのリリースを提供します。この問題は、サードパーティの流通量の多いメーリングリスト上で公開されて、運用中の Django に対して攻撃が試みられています。私たちは、セキュリティ情報公開の通常のポリシーを迂回して、パッチと修正リリースを公開します。

脆弱性の内容

Django のフォームライブラリは、メールと URL バリデーションに正規表現ベースのフィールドタイプを含みます。特定のメールアドレス/URL はこの正規表現の不具合を引き起こし、サーバプロセス/スレッドが応答しなくなり、長時間にわたり CPU 負荷がかかります。意図的に引き起こされれば、これはサービス不能(DoS)攻撃となります。

影響バージョン

EmailField 又は URLField を使用する以下のバージョンの Django アプリケーションに脆弱性があります。

解決方法

メールアドレスと URL のバリデーションに使用された正規表現は、不具合を取り除くように変更されました。パッチは以下のチェンジセットで適用されています。


すぐに以下のリリースも公開されました。


これらのリリースはダウンロードページPyPI 上から利用できます。
この問題は広く悪用されるので、影響のある Django を使用している全てのユーザは、今すぐアップグレード、又は修正パッチを適用することを強く推奨します。

注意 セキュリティレポートについて

上述したように、当初、この問題は、流通量の多いメーリングリスト上で公開されました。私たちは、ユーザに対して、セキュリティレポートのための適切な方法は security@djangoproject.com へメールを送ることだという事を注意してほしいです。これは、Django パッケージを配布/メンテナンスする多数のサードパーティーと Django コミュニティ全体の双方に対して、開発チームが解決方法を実装して情報を公開する時間を与えます。
特にセキュリティに影響を与える問題を議論するとき、私たちはあなたに、慎重過ぎるぐらい慎重になり、いつも security@djangoproject.com にコンタクトを取るようにお願いします。私たちは潜在的なセキュリティ問題を査定して分析するあなたと共に喜んで活動するでしょう。

リファレンス:
Security updates released | Weblog | Django
Djangoにセキュリティホール | tsuyuki.makoto
CentOS 5.3 に Django-1.1 と MySQL-Python-1.2.2 をインストールする - forest book

広告を非表示にする