Новости Джанго

Выпущены релизы безопасности Django: 3.0.3, 2.2.10 и 1.11.28

В соответствии с политикой безопасности, команда Django выпускает Django 3.0.3, Django 2.2.10 и Django 1.11.28. Эти выпуски решают проблему безопасности, подробно описанную ниже. Мы призываем всех пользователей Django обновиться как можно скорее.

Затронутые поддерживаемые версии

  • Django master branch
  • Django 3.0
  • Django 2.2
  • Django 1.11

CVE-2020-7471: Потенциальная SQL-инъекция через StringAgg(delimiter)

Функция агрегации django.contrib.postgres.aggregates.StringAgg подвергалась внедрению SQL с использованием специально созданного разделителя delimiter.

Спасибо Саймону Шаретту за отчет и патч.

Решение

Патчи для решения этой проблемы были применены к основной ветке Django и веткам выпуска 3.0, 2.2 и 1.11. Патчи могут быть получены из следующих наборов изменений:

Были выпущены следующие версии:

Идентификатор ключа PGP, используемый для этих выпусков, - Карлтон Гибсон: E17DF5C82B4F9D00.

Общие замечания относительно отчетов по безопасности

Как всегда, мы просим сообщать о потенциальных проблемах безопасности по электронной почте security@djangoproject.com, а не через экземпляр Trac Django или список разработчиков django. Пожалуйста, ознакомьтесь с нашей политикой безопасности для получения дополнительной информации.

https://www.djangoproject.com/weblog/2020/feb/03/security-releases/

Поделитесь с другими: