Примечания к выпуску Django 1.8.19¶
Март 6, 2018
Django 1.8.19 исправляет две проблемы безопасности в версии 1.18.18.
CVE-2018-7536: Возможность отказа в обслуживании в фильтрах шаблонов urlize и urlizetrunc¶
Функция django.utils.html.urlize() крайне медленно оценивала определенные входные данные из-за катастрофической уязвимости в регулярном выражении. Функция urlize() используется для реализации фильтров шаблонов urlize и urlizetrunc, которые, таким образом, были уязвимы.
Проблемное регулярное выражение заменяется логикой разбора, которая ведет себя аналогично.
CVE-2018-7537: Возможность отказа в обслуживании в фильтрах шаблонов truncatechars_html и truncatewords_html¶
Если методам django.utils.text.Truncator chars() и words() передавался аргумент html=True, они крайне медленно оценивали определенные входные данные из-за катастрофической уязвимости в регулярном выражении. Методы chars() и words() используются для реализации шаблонных фильтров truncatechars_html и truncatewords_html, которые, таким образом, были уязвимы.
Исправлена проблема отката в регулярном выражении.