Новости Джанго

Выпуски исправлений Django 3.1.1, 3.0.10 и 2.2.16

В соответствии с политикой выпусков безопасности, команда Django выпускает Django 3.1.1, Django 3.0.10 и Django 2.2.16. В этих выпусках устранена проблема безопасности, описанная ниже. Мы рекомендуем всем пользователям Django как можно скорее выполнить обновление.

CVE-2020-24583: неправильные разрешения для каталогов промежуточного уровня в Python 3.7+

В Python 3.7 и выше режим FILE_UPLOAD_DIRECTORY_PERMISSIONS не применялся к каталогам промежуточного уровня, созданным в процессе загрузки файлов, и к собранным статическим каталогам промежуточного уровня при использовании команды управления collectstatic.

Вам следует просмотреть и вручную исправить разрешения для существующих каталогов промежуточного уровня.

CVE-2020-24584: повышение разрешений в каталогах промежуточного уровня кеша файловой системы в Python 3.7+

В Python 3.7 и более поздних версиях каталоги промежуточного уровня кэша файловой системы имели стандартную системную маску umask, а не 0o077 (без разрешений группы или других).

Затронутые поддерживаемые версии

Основная ветка Django

  • Django 3.1
  • Django 3.0
  • Django 2.2

Решение

Исправления для решения этой проблемы были применены к основной ветке Django и ветвям выпуска 3.1, 3.0 и 2.2. Патчи могут быть получены из следующих наборов изменений:

CVE-2020-24583:

CVE-2020-24584:

Выпущены следующие релизы:

Идентификатор ключа PGP, используемый для этих выпусков, - Карлтон Гибсон: E17DF5C82B4F9D00.

Общие примечания относительно отчетов о безопасности

Как всегда, мы просим сообщать о потенциальных проблемах безопасности по электронной почте security@djangoproject.com, а не через Trac Django или список разработчиков django. Пожалуйста, ознакомьтесь с нашей политикой безопасности для получения дополнительной информации.

Поделитесь с другими: