Новости Джанго

Выпущенные исправления безопасности Django: 3.1.6, 3.0.12 и 2.2.18

В соответствии с политикой выпуска безопасности, команда Django выпускает Django 3.1.6 , Django 3.0.12 и Django 2.2.18 . В этих выпусках устранена проблема безопасности с уровнем серьезности "низкий", описанным ниже. Мы рекомендуем всем пользователям Django как можно скорее выполнить обновление.

CVE-2021-3281: потенциальный обход каталога с помощью archive.extract ()

Функция django.utils.archive.extract() , используемая startapp --template и startproject --template , разрешает обход каталога через архив с абсолютными путями или относительными путями с точечными сегментами.

Спасибо Вану Баохуа за отчет.

Затронутые поддерживаемые версии

  • Основная ветка Django
  • Django 3.2 (в настоящее время в статусе альфа)
  • Django 3.1
  • Django 3.0
  • Django 2.2

Разрешение

Исправления для решения этой проблемы были применены к основной ветке Django и ветвям выпуска 3.2, 3.1, 3.0 и 2.2. Патчи могут быть получены из следующих наборов изменений:

Выпущены следующие релизы:

В этом выпуске используется идентификатор ключа PGP: Mariusz Felisiak: 2EF56372BA48CD1B .

Общие примечания относительно отчетов о безопасности

Как всегда, мы просим сообщать о потенциальных проблемах безопасности по электронной почте security@djangoproject.com , а не через экземпляр Trac Django или список разработчиков django. Пожалуйста, ознакомьтесь с политикой безопасности для получения дополнительной информации.

Поделитесь с другими: