Примечания к выпуску Django 1.11.11¶
Март 6, 2018
Django 1.11.11 исправляет две проблемы безопасности в 1.11.10.
CVE-2018-7536: Возможность отказа в обслуживании в фильтрах шаблонов urlize
и urlizetrunc
¶
Функция django.utils.html.urlize()
крайне медленно оценивала определенные входные данные из-за катастрофической уязвимости обратного отката в двух регулярных выражениях. Функция urlize()
используется для реализации фильтров шаблонов urlize
и urlizetrunc
, которые, таким образом, были уязвимы.
Проблемные регулярные выражения заменяются логикой разбора, которая ведет себя аналогично.
CVE-2018-7537: Возможность отказа в обслуживании в фильтрах шаблонов truncatechars_html
и truncatewords_html
¶
Если методам django.utils.text.Truncator
chars()
и words()
передавался аргумент html=True
, они крайне медленно оценивали определенные входные данные из-за катастрофической уязвимости обратного хода в регулярном выражении. Методы chars()
и words()
используются для реализации шаблонных фильтров truncatechars_html
и truncatewords_html
, которые, таким образом, были уязвимы.
Исправлена проблема отката в регулярном выражении.