Новости Джанго

Выпущенные релизы безопасности Django: 3.1.7, 3.0.13 и 2.2.19

В соответствии с политикой выпуска безопасности , команда Django выпускает Django 3.1.7 , Django 3.0.13 и Django 2.2.19 . В этом выпуске устранена проблема безопасности, описанная ниже. Мы рекомендуем всем пользователям Django как можно скорее выполнить обновление.

CVE-2021-23336: заражение веб-кеша с помощью django.utils.http.limited_parse_qsl()

Django содержит копию urllib.parse.parse_qsl(), которая была добавлена ​​для резервного копирования некоторых исправлений безопасности. Недавно было выпущено еще одно исправление безопасности, так что parse_qsl() больше не позволяет использовать ; как разделитель параметров запроса по умолчанию. Django теперь включает это исправление. См. Bpo-42967 для получения дополнительной информации.

Согласно политике безопасности Django, проблема средней степени серьезности.

Затронутые поддерживаемые версии

  • Django 3.2 (в настоящее время в статусе бета)
  • Django 3.1
  • Django 3.0
  • Django 2.2

Разрешение

Исправления для решения этой проблемы были применены к веткам выпуска 3.2, 3.1, 3.0 и 2.2. Патчи могут быть получены из следующих наборов изменений:

Выпущены следующие релизы:

Идентификатор ключа PGP, используемый для этих выпусков, - Карлтон Гибсон: E17DF5C82B4F9D00 .

Бета-версия Django 3.2 будет выпущена сегодня в отдельном сообщении в блоге.

Общие примечания относительно отчетов о безопасности

Как всегда, мы просим сообщать о потенциальных проблемах безопасности по электронной почте security@djangoproject.com , а не через экземпляр Trac Django или список разработчиков django. Пожалуйста, ознакомьтесь с политикой безопасности для получения дополнительной информации.

Поделитесь с другими: