Примечания к выпуску Django 1.8.19

Март 6, 2018

Django 1.8.19 исправляет две проблемы безопасности в версии 1.18.18.

CVE-2018-7536: Возможность отказа в обслуживании в фильтрах шаблонов urlize и urlizetrunc

Функция django.utils.html.urlize() крайне медленно оценивала определенные входные данные из-за катастрофической уязвимости в регулярном выражении. Функция urlize() используется для реализации фильтров шаблонов urlize и urlizetrunc, которые, таким образом, были уязвимы.

Проблемное регулярное выражение заменяется логикой разбора, которая ведет себя аналогично.

CVE-2018-7537: Возможность отказа в обслуживании в фильтрах шаблонов truncatechars_html и truncatewords_html

Если методам django.utils.text.Truncator chars() и words() передавался аргумент html=True, они крайне медленно оценивали определенные входные данные из-за катастрофической уязвимости обратного хода в регулярном выражении. Методы chars() и words() используются для реализации шаблонных фильтров truncatechars_html и truncatewords_html, которые, таким образом, были уязвимы.

Исправлена проблема отката в регулярном выражении.

Вернуться на верх