Выпуски безопасности Django: 3.1.8, 3.0.14 и 2.2.20

В соответствии с политикой выпуска безопасности , команда Django выпускает Django 3.1.8 , Django 3.0.14 и Django 2.2.20 . В этих выпусках устранена проблема безопасности с уровнем серьезности "низкий", описанным ниже. Мы рекомендуем всем пользователям Django как можно скорее выполнить обновление.

CVE-2021-28658: потенциальный обход каталога через загруженные файлы

MultiPartParser разрешал обход каталогов с помощью загруженных файлов с соответствующим образом созданными именами файлов.

Встроенные обработчики загрузки не подвержены этой уязвимости.

Спасибо Деннису Бринкрольфу за отчет.

Затронутые поддерживаемые версии

  • Основная ветка Django
  • Django 3.2 (который будет выпущен в отдельном сообщении в блоге сегодня же)
  • Django 3.1
  • Django 3.0
  • Django 2.2

Решения

Патчи для решения этой проблемы были применены к основной ветке Django и ветвям выпуска 3.2, 3.1, 3.0 и 2.2. Патчи могут быть получены из следующих наборов изменений:

Выпущены следующие релизы:

В этом выпуске используется идентификатор ключа PGP: Mariusz Felisiak: 2EF56372BA48CD1B .

Общие примечания относительно отчетов о безопасности

Как всегда, мы просим сообщать о потенциальных проблемах безопасности по электронной почте security@djangoproject.com, а не через экземпляр Trac Django или список разработчиков django. Пожалуйста, ознакомьтесь с нашей политикой безопасности для получения дополнительной информации.

Вернуться на верх