Релизы безопасности Django: 3.2.4, 3.1.12 и 2.2.24
В соответствии с политикой выпуска безопасности, команда Django выпускает Django 3.2.4, Django 3.1.12 и Django 2.2.24. В этом выпуске устранена проблема безопасности, описанная ниже. Мы рекомендуем всем пользователям Django как можно скорее выполнить обновление.
CVE-2021-33203: потенциальный обход каталога через admindocs
Сотрудники могли использовать представление admindocs
TemplateDetailView
для проверки существования произвольных файлов. Кроме того, если (и только если) шаблоны admindocs
по умолчанию были настроены разработчиками так, чтобы также отображать содержимое файла, тогда не только существование, но и содержимое файла было бы раскрыто.
В качестве меры защиты теперь применяется санация пути, и могут быть загружены только файлы в корневых каталогах шаблонов.
Согласно политике безопасности Django, эта проблема имеет низкую серьезность.
Благодарим Расмуса Лерхедала Петерсена и Расмуса Вридта Ларсена из команды CodeQL Python за отчет.
CVE-2021-33571: возможные неопределенные атаки SSRF, RFI и LFI, поскольку валидаторы принимают ведущие нули в адресах IPv4.
URLValidator
, validate_ipv4_address()
и validate_ipv46_address()
не запрещали начальные нули в восьмеричных литералах. Если вы используете такие значения, вы можете пострадать от неопределенных атак SSRF, RFI и LFI.
Валидаторы validate_ipv4_address()
и validate_ipv46_address()
не были затронуты в Python 3.9.5+.
Согласно политике безопасности Django, эта проблема имеет средний уровень серьезности.
Затронутые поддерживаемые версии
- Основная ветка Django
- Django 3.2
- Django 3.1
- Django 2.2
Решение
Исправления для решения этой проблемы были применены к основной ветке Django и к веткам выпуска 3.2, 3.1 и 2.2. Патчи можно получить из следующих наборов изменений.
CVE-2021-33203:
CVE-2021-33571:
Выпущены следующие релизы:
- Django 3.2.4 ( скачать Django 3.2.4 | 3.2.4 контрольные суммы )
- Django 3.1.12 ( загрузить Django 3.1.12 | контрольные суммы 3.1.12 )
- Django 2.2.24 ( скачать Django 2.2.24 | контрольные суммы 2.2.24 )
Идентификатор ключа PGP, используемый для этих выпусков, - Карлтон Гибсон: E17DF5C82B4F9D00.