Django.fun

Выпуски безопасности Django Debug Toolbar: 3.2.1, 2.2.1 и 1.11.1

Выпущенные выпуски безопасности панели инструментов Django Debug: 3.2.1, 2.2.1 и 1.11.1

В соответствии с политиками выпуска безопасности, которым следуют Django и Jazzband, команда проекта Jazzband для проекта Django Debug Toolbar выпускает Django Debug Toolbar 3.2.1Django Debug Toolbar 2.2.1 и Django Debug Toolbar 1.11.1. В этих выпусках устранена проблема безопасности с уровнем серьезности "высокий", описанным ниже. Мы рекомендуем всем пользователям Django Debug Toolbar как можно скорее выполнить обновление.

CVE-2021-30459 - SQL-инъекция через формы выбора, объяснения и анализа панели инструментов отладки SQLPanel для Django> = 0.10.0

С Django Debug Toolbar 0.10.0 и выше злоумышленники могут выполнять SQL, изменяя ввод raw_sql объяснения SQL, анализируя или выбирая формы и отправляя форму.

Это серьезная проблема для всех, кто использует панель инструментов в производственной среде.

Обычно команда Django Debug Toolbar поддерживает только последнюю версию django-debug-toolbar, но было сделано исключение из-за высокой серьезности этой проблемы.

Рекомендации по безопасности GitHub можно найти здесь:

https://github.com/jazzband/django-debug-toolbar/security/advisories/GHSA-pghf-347x-c2gj

Затронутые поддерживаемые версии

  • Основная ветка панели инструментов отладки Django
  • Панель инструментов отладки Django 3.2
  • Панель инструментов отладки Django 2.2
  • Панель инструментов отладки Django 1.11

Решения

Исправления для решения этой проблемы были применены к основной ветке Django Debug Toolbar (для выпуска 3.2) и ветвям выпуска 2.2 и 1.11. Патчи могут быть получены из следующих наборов изменений:

Выпущены следующие релизы:

Общие примечания относительно отчетов о безопасности

Поскольку этот выпуск безопасности предназначен для стороннего приложения Django Django Debug Toolbar , мы просим отправлять потенциальные проблемы с безопасностью через личный адрес электронной почты на адрес security@jazzband.co, а не на обычный адрес электронной почты безопасности Django, ни на экземпляр Django Trac, ни на django-developers список.

Поделитесь с другими: