Новости Джанго

Выпущен релиз безопасности Channels 3.0.3

В соответствии с политикой выпуска исправлений безопасности, команда Django выпускает Channels 3.0.3. В этом выпуске устранена проблема безопасности, описанная ниже. Мы призываем всех пользователей Channels как можно скорее выполнить обновление.

CVE-2020-35681: потенциальная утечка данных сеанса с использованием устаревшего AsgiHandler

Унаследованный класс channels.http.AsgiHandler, используемый для обработки запросов типа HTTP в среде ASGI до Django 3.0, неправильно разделял области запросов в Channels 3.0. Во многих случаях это может привести к сбою, но при правильном выборе времени ответы могут быть отправлены не тому клиенту, что приведет к потенциальной утечке идентификаторов сеанса и других конфиденциальных данных.

Эта проблема затрагивает каналы 3.0.x до 3.0.3 и решена в каналах 3.0.3.

Пользователи ProtocolTypeRouter, явно не указывающие обработчик для ключа http, или те, кто явно использует Channels. Http.AsgiHandler, вероятно, поддерживает Django v2.2, пострадают и должны немедленно обновить.

Подробные сведения смотрите в примечаниях к выпуску Channels 3.0.3.

Общие примечания относительно отчетов о безопасности

Как всегда, мы просим сообщать о потенциальных проблемах безопасности по электронной почте security@djangoproject.com, а не через экземпляр Trac Django или список разработчиков django. Пожалуйста, ознакомьтесь с нашей политикой безопасности для получения дополнительной информации.

Поделитесь с другими: