Примечания к выпуску Django 1.8.19¶
Март 6, 2018
Django 1.8.19 исправляет две проблемы безопасности в версии 1.18.18.
CVE-2018-7536: Возможность отказа в обслуживании в фильтрах шаблонов urlize
и urlizetrunc
¶
Функция django.utils.html.urlize()
крайне медленно оценивала определенные входные данные из-за катастрофической уязвимости в регулярном выражении. Функция urlize()
используется для реализации фильтров шаблонов urlize
и urlizetrunc
, которые, таким образом, были уязвимы.
Проблемное регулярное выражение заменяется логикой разбора, которая ведет себя аналогично.
CVE-2018-7537: Возможность отказа в обслуживании в фильтрах шаблонов truncatechars_html
и truncatewords_html
¶
Если методам django.utils.text.Truncator
chars()
и words()
передавался аргумент html=True
, они крайне медленно оценивали определенные входные данные из-за катастрофической уязвимости обратного хода в регулярном выражении. Методы chars()
и words()
используются для реализации шаблонных фильтров truncatechars_html
и truncatewords_html
, которые, таким образом, были уязвимы.
Исправлена проблема отката в регулярном выражении.