Выпущенные исправления безопасности Django: 3.1.6, 3.0.12 и 2.2.18
В соответствии с политикой выпуска безопасности, команда Django выпускает Django 3.1.6 , Django 3.0.12 и Django 2.2.18 . В этих выпусках устранена проблема безопасности с уровнем серьезности "низкий", описанным ниже. Мы рекомендуем всем пользователям Django как можно скорее выполнить обновление.
CVE-2021-3281: потенциальный обход каталога с помощью archive.extract ()
Функция django.utils.archive.extract() , используемая startapp --template и startproject --template , разрешает обход каталога через архив с абсолютными путями или относительными путями с точечными сегментами.
Спасибо Вану Баохуа за отчет.
Затронутые поддерживаемые версии
- Основная ветка Django
- Django 3.2 (в настоящее время в статусе альфа)
- Django 3.1
- Django 3.0
- Django 2.2
Разрешение
Исправления для решения этой проблемы были применены к основной ветке Django и ветвям выпуска 3.2, 3.1, 3.0 и 2.2. Патчи могут быть получены из следующих наборов изменений:
Выпущены следующие релизы:
- Django 3.1.6 (скачать контрольные суммы Django 3.1.6 | 3.1.6)
- Django 3.0.12 (загрузить Django 3.0.12 | контрольные суммы 3.0.12)
- Django 2.2.18 (скачать контрольные суммы Django 2.2.18 | 2.2.18)
В этом выпуске используется идентификатор ключа PGP: Mariusz Felisiak: 2EF56372BA48CD1B .
Общие примечания относительно отчетов о безопасности
Как всегда, мы просим сообщать о потенциальных проблемах безопасности по электронной почте security@djangoproject.com , а не через экземпляр Trac Django или список разработчиков django. Пожалуйста, ознакомьтесь с политикой безопасности для получения дополнительной информации.