Выпущены релизы безопасности Django: 3.0.7 и 2.2.13

В соответствии с политикой безопасности, команда Django выпускает Django 3.0.7 и Django 2.2.13. Эти выпуски решают проблему безопасности, подробно описанную ниже. Мы призываем всех пользователей Django обновиться как можно скорее.

CVE-2020-13254: потенциальная утечка данных через искаженные ключи memcached

В случаях, когда внутренняя память memcached не выполняет проверку ключей, передача неправильно сформированных ключей кэша может привести к конфликту ключей и потенциальной утечке данных. Чтобы избежать этой уязвимости, проверка ключа добавляется в бэкэнд кэша memcached.

Спасибо Дэну Палмеру за отчет и патч.

CVE-2020-13596: возможно XSS через admin ForeignKeyRawIdWidget

Параметры запроса для admin ForeignKeyRawIdWidget не были правильно закодированы в URL, что представляет вектор атаки XSS. ForeignKeyRawIdWidget теперь обеспечивает правильное кодирование параметров запроса в URL.

Спасибо Джону Дюфрену за отчет и патч.

Затронутые поддерживаемые версии

• Ветка Django master
• Django 3.1 (в настоящее время в альфа-статусе)
• Джанго 3.0
• Джанго 2.2

Решение

Патчи для решения проблемы были применены к основной ветке Django и веткам выпуска 3.1, 3.0 и 2.2. Патчи могут быть получены из следующих наборов изменений:

CVE-2020-13254:

• в мастер ветке
• в ветке релиза 3.1
• в ветке релиза 3.0
• в ветке релиза 2.2

CVE-2020-13596:

• в мастер ветке
• в ветке релиза 3.1
• в ветке релиза 3.0
• в ветке релиза 2.2

Были выпущены следующие версии:

• Django 3.0.7 (контрольные суммы)
• Django 2.2.13 (контрольные суммы)

Идентификатор ключа PGP, используемый для этих выпусков, - Карлтон Гибсон: E17DF5C82B4F9D00.

Общие замечания относительно отчетов по безопасности

Как всегда, команда Django просит сообщать о потенциальных проблемах безопасности по электронной почте security@djangoproject.com, а не через Trac Django или список разработчиков Django. Пожалуйста, ознакомьтесь с политикой безопасности для получения дополнительной информации.