Выпущены релизы безопасности Django: 3.0.3, 2.2.10 и 1.11.28

В соответствии с политикой безопасности, команда Django выпускает Django 3.0.3, Django 2.2.10 и Django 1.11.28. Эти выпуски решают проблему безопасности, подробно описанную ниже. Мы призываем всех пользователей Django обновиться как можно скорее.

Затронутые поддерживаемые версии

• Django master branch
• Django 3.0
• Django 2.2
• Django 1.11

CVE-2020-7471: Потенциальная SQL-инъекция через StringAgg(delimiter)

Функция агрегации django.contrib.postgres.aggregates.StringAgg подвергалась внедрению SQL с использованием специально созданного разделителя delimiter.

Спасибо Саймону Шаретту за отчет и патч.

Решение

Патчи для решения этой проблемы были применены к основной ветке Django и веткам выпуска 3.0, 2.2 и 1.11. Патчи могут быть получены из следующих наборов изменений:

• master branch
• 3.0 release branch
• 2.2 release branch
• 1.11 release branch

Были выпущены следующие версии:

• Django 3.0.3 (download Django 3.0.3 | 3.0.3 checksums)
• Django 2.2.10 (download Django 2.2.10 | 2.2.10 checksums)
• Django 1.11.28 (download Django 1.11.28 | 1.11.28 checksums)

Идентификатор ключа PGP, используемый для этих выпусков, - Карлтон Гибсон: E17DF5C82B4F9D00.

Общие замечания относительно отчетов по безопасности

Как всегда, мы просим сообщать о потенциальных проблемах безопасности по электронной почте security@djangoproject.com, а не через экземпляр Trac Django или список разработчиков django. Пожалуйста, ознакомьтесь с нашей политикой безопасности для получения дополнительной информации.

https://www.djangoproject.com/weblog/2020/feb/03/security-releases/

Вернуться на верх