Выпущенные релизы безопасности Django: 3.2.1, 3.1.9 и 2.2.21
В соответствии с политикой выпуска безопасности, команда Django выпускает Django 3.2.1, Django 3.1.9 и Django 2.2.21. В этом выпуске устранена проблема безопасности, описанная ниже. Мы рекомендуем всем пользователям Django как можно скорее выполнить обновление.
CVE-2021-31542: потенциальный обход каталога через загруженные файлы
MultiPartParser, UploadedFile и FieldFile позволяли обход каталогов с помощью загруженных файлов с соответствующим образом созданными именами файлов.
Чтобы снизить этот риск, теперь применяется более строгая очистка базового имени и пути.
Согласно политике безопасности Django, эта проблема имеет низкую серьезность.
Спасибо Ясу Видингу за отчет.
Затронутые поддерживаемые версии
- Основная ветка Django
- Джанго 3.2
- Django 3.1
- Django 2.2
Решения
Исправления для решения этой проблемы были применены к основной ветке Django и к веткам выпуска 3.2, 3.1 и 2.2. Патчи могут быть получены из следующих наборов изменений:
- На главном ветке
- В ветке выпуска 3.2
- В ветке выпуска 3.1
- В ветке выпуска 2.2
Выпущены следующие релизы:
- Django 3.2.1 ( скачать Django 3.2.1 | 3.2.1 контрольные суммы )
- Django 3.1.9 ( скачать контрольные суммы Django 3.1.9 | 3.1.9 )
- Django 2.2.21 ( скачать Django 2.2.21 | контрольные суммы 2.2.21 )
Идентификатор ключа PGP, используемый для этих выпусков, - Карлтон Гибсон: E17DF5C82B4F9D00