Como parte do processo de lançamento do Django 1.2, essa noite nós lançamos o Django 1.2 alpha 1, um pacote de previsão/teste que dá um gostinho das novidades que virão no Django 1.2. Como em todos os pacotes alpha e beta, ele não devee ser usado em produção, mas se você quiser testar as novidades do 1.2, ou se você gostaria de se envolver e ajudar a corrigir bugs antes do lançamento do 1.2 final (agendado para Abril), sinta-se livre para obter uma cópia e dar uma olhada.
Você pode obter uma cópia do pacote 1.2 alpha da nossa página de downloads, e recomendamos que você leia as notas de lançamento. Para garantir a integridade dos arquivos, checksums assinados MD5 e SHA1 do pacote 1.2 alpha estão disponíveis.
Tradução do post original em http://www.djangoproject.com/weblog/2010/jan/06/12-alpha-1/
Hoje o projeto Django está emitindo um conjunto de lançamentos para remediar um
problema de segurança. Este problema foi divulgado por terceiros numa lista de
discussão de alto tráfego, e foram feitas tentativas para explorá-lo em
instalações ativas do Django; desta forma, nós ignoramos nossa política normal
de segurança e divulgação, para emitimos correções e atualizações imediatamente.
A biblioteca de formulários do Django inclui tipos de campos que executam
validações, baseadas em expressões regulares, de endereços de email e URLs.
Determinados endereços/URLs poderiam desencadear um caso patológido de
performance nesta expressão regular, resultando num processo/thread do servidor
sem resposta, consumindo CPU excessivamente por um período de tempo extenso. Se
isso for deliberadamente provocado, poderia resultar num ataque de
denial-of-service (negação de serviço).
Qualquer aplicação Django que faz uso dos campos EmailField ou URLField nas
seguintes versões, é vulnerável:
- Django development trunk
- Django 1.1
- Django 1.0
Resolução
A expressão regular utilizada para validação de endreço de email e URL foi
modificada para eliminar o caso patológico de performance.
As correções foram aplicadas nos seguintes changesets:
- Django development trunk: 11603.
- Django 1.1 release series: 11604.
- Django 1.0 release series: 11605.
Os seguintes releases foram emitidos imediatamente:
- Django 1.1.1
- Django 1.0.4
Estes releases estão disponívei na nossa página de download e no PyPI.
Como este problema está sendo explorado ativamente, todos os usuário
que utilizam as versões do Django afetadas são fortemente encorajados a
atualizar ou aplicar o patch apropriado imediatamente.
Nota sobre o relato de segurança
Como mensionado acima, este problema foi inicialmente divulgado publicamente
numa lista de alto tráfego. Nós gostariámos de lembrar nossos usuários de que o
canal correto para relatos de segurança é o email security@djangoproject.com.
Isso dá tempo ao time de desenvolvimento para desenvolver uma solução e
coordenar a divulgação, tanto para a comunidade Django como um todo, quanto
para os vários colaboradores que mantêm e distribuem versões do Django
empacotadas.
Quando deparar-se com um problema particular que impacta na segurança, nós
pedimos a você que tenha um pouco de cuidado e entre em contato com
security@djangoproject.com; nós ficaremos mais do que felizes em trabalhar com
você na análise e avaliação de potenciais problemas de segurança.
Nota da comunidade Django Brasil
Caso você não saiba ingês, você pode procurar ajuda no grupo de localização
e tradução do Django, ou mesmo na lista da Django Brasil, solicitando
auxílio para reportar o problema. Se isso for acontecer, num primeiro
momento não exponha o que está acontecendo, a fim de manter a privacidade
na comunicação e segurança das outras pessoas.
Por James Bennett em 9 de Outrubro de 2009. Traduzido por Robson Mendonça em 10 de Outubro de 2009
Em conformidade com a política de segurança, o projeto Django publicou no dia 28 de julho um conjunto de releases para concertar uma vulnerabilidade.
As versões afetadas são as seguintes:
Se você utiliza alguma das versões acima, a atualização é recomendada. Um upgrade para a versão 1.1 do Django lançada recentemente também resolve o problema, uma vez que o mesmo não é afetado pela vulnerabilidade.
Você encontra pacotes para os novos releases em nossa página de download.
Confira a notícia publicada no site do projeto oficial do Django para mais detalhes da vulnerabilidade, entre outras informações importantes.
Importante
Note que o lançamento do Django 1.1 decretou o fim da vida da série Django 0.96; sendo assim, o Django 0.96.4 será o último lançamento oficial desta série, que não mais receberá correções de bugs ou suporte de segurança, vindas diretamente do time de desenvolvimento do Django.
Após cerca de um ano de desenvolvimento, várias novas funcionalidades e
milhares de outras melhorias, o Django 1.1 está pronto para uso!
Para uma lista completa das novidades e mudanças, consulte as notas de lançamento; para baixar uma cópia, vá até a página de download. E
para os preocupados com segurança, checksums assinados para o pacote estão disponíveis.
Essa versão também contém a atualização de segurança liberada essa noite para a
série antiga.
O Django 1.1 é o resultado de um trabalho duro de centenas de pessoas que
contribuíram com o código do Django e muitos que doaram seu tempo para
reporte, triagem, detecção e ajuda para corrigir bugs e desenvolver novas
funcionalidades. Literalmente, o Django não aconteceria sem todos vocês, então
pare e dê em si mesmo (e em quaisquer outros desenvolvedores que você conheça)
um tapinha nas costas.
Novamente, obrigado a todos que ajudaram, e esperamos ver você na DjangoCon 2009 em Portland, Oregon, e por todo o caminho para o Django 1.2.
Fonte: Django Project, por James Bennett (tradução de Walter Cruz)
Começou a contagem regressiva para a PythonBrasil[5]! De 10 a 12 de Setembro a comunidade Python, empresas relacionadas e interessados em geral se reúnem em Caxias do Sul para a quinta edição do Encontro Brasileiro da Comunidade Python. Ajude a divulgar colocando um banner no seu site e aproveite para fazer sua inscrição ou enviar uma proposta de trabalho!
Python é uma linguagem de programação dinâmica de altíssimo nível, utilizada em larga escala por empresas como Google, Dreamworks e Industrial Light & Magic. No Brasil, é utilizada pela Locaweb e Globo.com, além do SERPRO, entre outros.
A PythonBrasil é realizada desde 2005 e já foi sediada em Campinas, Brasília, Joinville e Rio de Janeiro, contando com participantes de todo o Brasil, além de palestrantes e convidados de renome nacional e internacional.
O novo site está no ar
O novo site para a PythonBrasil[5] está no ar, agora com um novo domínio: http://www.pythonbrasil.org.br! Confira todos os detalhes sobre a quinta edição do Encontro Brasileiro da Comunidade Python, que acontecerá em Caxias do Sul, de 10 a 12 de Setembro de 2009.
Palestrantes confirmados
Já estão confirmados os nomes dos palestrantes internacionais convidados para a PythonBrasil[5]:
Ambos confirmaram presença e ministrarão palestras dentro de suas especialidades. No cenário nacional, os destaques vão para Gustavo Niemeyer, da Canonical, desenvolvedor de projetos como o Smart e o Storm e um dos poucos core developers brasileiros do Python, e Rodrigo Bamboo de Oliveira, criador da linguagem Boo.
Sites amigos
Repetindo o que vem dando certo desde a PythonBrasil[3], este ano também estamos realizando a campanha de Sites Amigos. Divulgue a PythonBrasil[5] em seu site, blog ou portal e faça parte do
sucesso do evento anual da comunidade Python brasileira. Temos alguns modelos diferentes de banners disponíveis para download.
Inscrições
Faça já a sua inscrição no evento! O pagamento pode ser realizado por boleto, cartão de crédito ou transferência bancária. Quanto mais cedo você fizer a sua inscrição, maior o seu desconto!
Chamada de Trabalhos
A chamada de trabalhos se encerrará no dia 26 de Julho. Envie a sua proposta agora. Não deixe para a última hora!
Patrocínios
Existem diversas formas de patrocinar o evento. Aproveite esta excelente oportunidade, marque sua presença e exponha sua empresa para um público de alto nível!