Выпущенные релизы безопасности Django: 3.1.7, 3.0.13 и 2.2.19
В соответствии с политикой выпуска безопасности , команда Django выпускает Django 3.1.7 , Django 3.0.13 и Django 2.2.19 . В этом выпуске устранена проблема безопасности, описанная ниже. Мы рекомендуем всем пользователям Django как можно скорее выполнить обновление.
CVE-2021-23336: заражение веб-кеша с помощью django.utils.http.limited_parse_qsl()
Django содержит копию urllib.parse.parse_qsl(), которая была добавлена для резервного копирования некоторых исправлений безопасности. Недавно было выпущено еще одно исправление безопасности, так что parse_qsl() больше не позволяет использовать ; как разделитель параметров запроса по умолчанию. Django теперь включает это исправление. См. Bpo-42967 для получения дополнительной информации.
Согласно политике безопасности Django, проблема средней степени серьезности.
Затронутые поддерживаемые версии
- Django 3.2 (в настоящее время в статусе бета)
- Django 3.1
- Django 3.0
- Django 2.2
Разрешение
Исправления для решения этой проблемы были применены к веткам выпуска 3.2, 3.1, 3.0 и 2.2. Патчи могут быть получены из следующих наборов изменений:
Выпущены следующие релизы:
- Django 3.1.7 (скачать Django 3.1.7 | 3.1.7 контрольные суммы)
- Django 3.0.13 (скачать Django 3.0.13 | контрольные суммы 3.0.13)
- Django 2.2.19 (скачать Django 2.2.19 | контрольные суммы 2.2.19)
Идентификатор ключа PGP, используемый для этих выпусков, - Карлтон Гибсон: E17DF5C82B4F9D00 .
Бета-версия Django 3.2 будет выпущена сегодня в отдельном сообщении в блоге.
Общие примечания относительно отчетов о безопасности
Как всегда, мы просим сообщать о потенциальных проблемах безопасности по электронной почте security@djangoproject.com , а не через экземпляр Trac Django или список разработчиков django. Пожалуйста, ознакомьтесь с политикой безопасности для получения дополнительной информации.