Новости Джанго

Релизы безопасности Django: 3.0.4, 2.2.11, и 1.11.29

В соответствии с политикой безопасности, команда Django выпускает Django 3.0.4, Django 2.2.11 и Django 1.11.29. Эти выпуски решают проблему безопасности, подробно описанную ниже. Мы призываем всех пользователей Django обновиться как можно скорее.

CVE-2020-9402: потенциальное внедрение SQL через параметр допуска в функциях и агрегатах GIS в Oracle

GIS-функции и агрегаты в Oracle подвергались внедрению SQL с использованием специально созданного допуска.

Спасибо Норберту Стеи из Doyensec за сообщение.

Затронутые поддерживаемые версии

  • ветка master
  • Django 3.0
  • Django 2.2
  • Django 1.11

Решение

Патчи для решения этой проблемы были применены к основной ветке Django и веткам выпуска 3.0, 2.2 и 1.11. Патчи могут быть получены из следующих наборов изменений:

  • На мастер ветке
  • На ветке релиза 3.0
  • На ветке релиза 2.2
  • В ветке релиза 1.11

Были выпущены следующие релизы:

Идентификатор ключа PGP, используемый для этих выпусков, является Mariusz Felisiak: 2EF56372BA48CD1B.

Общие замечания относительно отчетов по безопасности

Как всегда, мы просим сообщать о потенциальных проблемах безопасности по электронной почте security@djangoproject.com, а не через экземпляр Trac Django или список разработчиков django. Пожалуйста, ознакомьтесь с политикой безопасности для получения дополнительной информации.

Поделитесь с другими: