Выпуски безопасности Django: 3.1.8, 3.0.14 и 2.2.20
В соответствии с политикой выпуска безопасности , команда Django выпускает Django 3.1.8 , Django 3.0.14 и Django 2.2.20 . В этих выпусках устранена проблема безопасности с уровнем серьезности "низкий", описанным ниже. Мы рекомендуем всем пользователям Django как можно скорее выполнить обновление.
CVE-2021-28658: потенциальный обход каталога через загруженные файлы
MultiPartParser разрешал обход каталогов с помощью загруженных файлов с соответствующим образом созданными именами файлов.
Встроенные обработчики загрузки не подвержены этой уязвимости.
Спасибо Деннису Бринкрольфу за отчет.
Затронутые поддерживаемые версии
- Основная ветка Django
- Django 3.2 (который будет выпущен в отдельном сообщении в блоге сегодня же)
- Django 3.1
- Django 3.0
- Django 2.2
Решения
Патчи для решения этой проблемы были применены к основной ветке Django и ветвям выпуска 3.2, 3.1, 3.0 и 2.2. Патчи могут быть получены из следующих наборов изменений:
- На главной ветке
- В ветке выпуска 3.2
- В ветке выпуска 3.1
- В ветке выпуска 3.0
- В ветке выпуска 2.2
Выпущены следующие релизы:
- Django 3.1.8 ( скачать Django 3.1.8 | 3.1.8 контрольные суммы )
- Django 3.0.14 ( загрузить Django 3.0.14 | контрольные суммы 3.0.14 )
- Django 2.2.20 ( скачать Django 2.2.20 | контрольные суммы 2.2.20 )
В этом выпуске используется идентификатор ключа PGP: Mariusz Felisiak: 2EF56372BA48CD1B .
Общие примечания относительно отчетов о безопасности
Как всегда, мы просим сообщать о потенциальных проблемах безопасности по электронной почте security@djangoproject.com, а не через экземпляр Trac Django или список разработчиков django. Пожалуйста, ознакомьтесь с нашей политикой безопасности для получения дополнительной информации.