CentOS 5.3 に Django-1.1.1 をインストールする
セキュリティアップデートの Django-1.1.1 がリリースされました。
以下から CentOS 用の src.rpm をダウンロードできます。
Django-1.1.1-1.centos.src.rpm
src.rpm を用いたインストール方法
ディストリビューションマクロを編集する # vi /etc/rpm/macros.centos ### distribution macros %dist .centos src.rpm をダウンロードしてインストールする # rpm -ivh Django-1.1.1-1.centos.src.rpm 1:Django ########################################### [100%] バイナリ RPM をビルドする # cd /usr/src/redhat/SPECS/ # rpmbuild -ba Django.spec (snip) 書き込み完了: /usr/src/redhat/SRPMS/Django-1.1.1-1.centos.src.rpm 書き込み完了: /usr/src/redhat/RPMS/noarch/Django-1.1.1-1.centos.noarch.rpm 書き込み完了: /usr/src/redhat/RPMS/noarch/Django-doc-1.1.1-1.centos.noarch.rpm 実行中(%clean): /bin/sh -e /var/tmp/rpm-tmp.3084 + umask 022 + cd /usr/src/redhat/BUILD + cd Django-1.1.1 + rm -rf /var/tmp/Django-1.1.1-1.centos-root-root + exit 0 作成したバイナリ RPM にアップグレードする # cd /usr/src/redhat/RPMS/noarch/ # rpm -Uvh Django-1.1.1-1.centos.noarch.rpm Django-doc-1.1.1-1.centos.noarch.rpm 準備中... ########################################### [100%] 1:Django ########################################### [ 50%] 2:Django-doc ########################################### [100%] # rpm -q Django Django-doc Django-1.1.1-1.centos Django-doc-1.1.1-1.centos
以下、本家のセキュリティアップデートの簡単な和訳になります。
セキュリティアップデートリリース
Django プロジェクトはセキュリティ問題を対応するためのリリースを提供します。この問題は、サードパーティの流通量の多いメーリングリスト上で公開されて、運用中の Django に対して攻撃が試みられています。私たちは、セキュリティ情報公開の通常のポリシーを迂回して、パッチと修正リリースを公開します。
脆弱性の内容
Django のフォームライブラリは、メールと URL バリデーションに正規表現ベースのフィールドタイプを含みます。特定のメールアドレス/URL はこの正規表現の不具合を引き起こし、サーバプロセス/スレッドが応答しなくなり、長時間にわたり CPU 負荷がかかります。意図的に引き起こされれば、これはサービス不能(DoS)攻撃となります。
解決方法
メールアドレスと URL のバリデーションに使用された正規表現は、不具合を取り除くように変更されました。パッチは以下のチェンジセットで適用されています。
- Django development trunk: 11603.
- Django 1.1 release series: 11604.
- Django 1.0 release series: 11605.
すぐに以下のリリースも公開されました。
これらのリリースはダウンロードページと PyPI 上から利用できます。
この問題は広く悪用されるので、影響のある Django を使用している全てのユーザは、今すぐアップグレード、又は修正パッチを適用することを強く推奨します。
注意 セキュリティレポートについて
上述したように、当初、この問題は、流通量の多いメーリングリスト上で公開されました。私たちは、ユーザに対して、セキュリティレポートのための適切な方法は security@djangoproject.com へメールを送ることだという事を注意してほしいです。これは、Django パッケージを配布/メンテナンスする多数のサードパーティーと Django コミュニティ全体の双方に対して、開発チームが解決方法を実装して情報を公開する時間を与えます。
特にセキュリティに影響を与える問題を議論するとき、私たちはあなたに、慎重過ぎるぐらい慎重になり、いつも security@djangoproject.com にコンタクトを取るようにお願いします。私たちは潜在的なセキュリティ問題を査定して分析するあなたと共に喜んで活動するでしょう。
リファレンス:
Security updates released | Weblog | Django
Djangoにセキュリティホール | tsuyuki.makoto
CentOS 5.3 に Django-1.1 と MySQL-Python-1.2.2 をインストールする - forest book