Примечания к выпуску Django 2.2.26¶
4 января 2022 года
Django 2.2.26 исправляет одну проблему безопасности со степенью серьезности «средняя» и две проблемы безопасности со степенью серьезности «низкая» в 2.2.25.
CVE-2021-45115: Возможность отказа в обслуживании в UserAttributeSimilarityValidator
¶
UserAttributeSimilarityValidator
несли значительные накладные расходы, оценивая присланный пароль, который был искусственно большим по сравнению со значениями сравнения. В предположении, что доступ к регистрации пользователей был неограниченным, это давало потенциальный вектор для атаки типа «отказ в обслуживании».
Чтобы смягчить эту проблему, относительно длинные значения теперь игнорируются UserAttributeSimilarityValidator
.
Эта проблема имеет серьезность «средняя» в соответствии с Django security policy.
CVE-2021-45116: Потенциальное раскрытие информации в фильтре шаблонов dictsort
¶
Из-за использования логики разрешения переменных в Django Template Language, фильтр шаблонов dictsort
был потенциально уязвим для раскрытия информации или непреднамеренных вызовов методов, если ему передавался соответствующим образом сконструированный ключ.
Чтобы избежать этой возможности, dictsort
теперь работает с ограниченной логикой разрешения, которая не будет вызывать методы и не позволит индексировать словари.
Напоминаем, что все недоверенные пользовательские данные должны быть проверены перед использованием.
Эта проблема имеет серьезность «низкая» в соответствии с Django security policy.
CVE-2021-45452: Потенциальный обход каталога через Storage.save()
¶
Storage.save()
допускал обход каталога, если ему напрямую передавались соответствующим образом сконструированные имена файлов.
Эта проблема имеет серьезность «низкая» в соответствии с Django security policy.