Django (Джанго) — свободный фреймворк для веб-приложений на языке Python, использующий шаблон проектирования MVC. Проект поддерживается организацией Django Software Foundation. Сайт на Django строится из одного или нескольких приложений, которые рекомендуется делать отчуждаемыми и подключаемыми. Это одно из существенных архитектурных отличий этого фреймворка от некоторых других (например, Ruby on Rails). Один из основных принципов фреймворка — DRY (англ. Don't repeat yourself). Также, в отличие от других фреймворков, обработчики URL в Django конфигурируются явно при помощи регулярных выражений. Для работы с базой данных Django использует собственный ORM, в котором модель данных описывается классами Python, и по ней генерируется схема базы данных.

Select Django version

dev 3.2 3.1 2.2

Django Libraries Documentation

Рецепты Django ORM

Рецепты Django ORM - это книга о работе с моделями Django ORM и Django. Django ORM является одним из ключевых столпов Django. Он предоставляет абстракции …

Django Rest Framework

Django Rest Framework (DRF) — это библиотека, которая работает со стандартными моделями Django для создания гибкого и мощного API для проекта.

Django CMS

Django CMS - это современная платформа для веб-публикаций, построенная на Django, фреймворке веб-приложений «для перфекционистов с соблюдением сроков». Django CMS предлагает готовую поддержку общих функций, …

Channels

Channels - это проект, который использует Django и расширяет его возможности за пределы HTTP - для обработки WebSockets, протоколов чата, IoT-протоколов и многого другого. Он …

ASGI — спецификация и утилиты

ASGI (Asynchronous Server Gateway Interface) является духовным наследником WSGI, предназначенным для обеспечения стандартного интерфейса между асинхронными веб-серверами, платформами и приложениями Python. WSGI предоставил стандарт для …

Python Social Auth

Python Social Auth - это простой в настройке механизм социальной аутентификации/регистрации с поддержкой нескольких платформ и провайдеров аутентификации. Созданный с использованием базового кода из django-social-auth, …

Articles about Django

News

Django framework news. Be always aware of the latest changes and events.

Tutorials

Tutorials about the Django framework, its features, use cases, and generally useful things of the framework.

Tips

Various little Django tips, hints, unusual uses - little useful things.

Video

Video tutorials on the Django framework, the basics and use of Python and Django.

Python

Tutorials about the Python, its features, use cases, and generally useful things.

Выпущенные релизы безопасности Django: 3.2.1, 3.1.9 и 2.2.21

В соответствии с политикой выпуска безопасности, команда Django выпускает Django 3.2.1, Django 3.1.9 и Django 2.2.21. В этом выпуске устранена проблема безопасности, описанная ниже. Мы рекомендуем всем пользователям Django как можно скорее выполнить обновление.

CVE-2021-31542: потенциальный обход каталога через загруженные файлы

MultiPartParser, UploadedFile и FieldFile позволяли обход каталогов с помощью загруженных файлов с соответствующим образом созданными именами файлов.

Чтобы снизить этот риск, теперь применяется более строгая очистка базового имени и пути.

Согласно политике безопасности Django, эта проблема имеет низкую серьезность.

Спасибо Ясу Видингу за отчет.

Затронутые поддерживаемые версии

Основная ветка Django
Джанго 3.2
Django 3.1
Django 2.2

Решения

Исправления для решения этой проблемы были применены к основной ветке Django и к веткам выпуска 3.2, 3.1 и 2.2. Патчи могут быть получены из следующих наборов изменений:

Выпущены следующие релизы:

Django 3.2.1 ( скачать Django 3.2.1 | 3.2.1 контрольные суммы )
Django 3.1.9 ( скачать контрольные суммы Django 3.1.9 | 3.1.9 )
Django 2.2.21 ( скачать Django 2.2.21 | контрольные суммы 2.2.21 )

Идентификатор ключа PGP, используемый для этих выпусков, - Карлтон Гибсон: E17DF5C82B4F9D00

Поделитесь с другими: