Примечания к выпуску Django 2.2.26

4 января 2022 года

Django 2.2.26 исправляет одну проблему безопасности со степенью серьезности «средняя» и две проблемы безопасности со степенью серьезности «низкая» в 2.2.25.

CVE-2021-45115: Возможность отказа в обслуживании в UserAttributeSimilarityValidator

UserAttributeSimilarityValidator несли значительные накладные расходы, оценивая присланный пароль, который был искусственно большим по сравнению со значениями сравнения. В предположении, что доступ к регистрации пользователей был неограниченным, это давало потенциальный вектор для атаки типа «отказ в обслуживании».

Чтобы смягчить эту проблему, относительно длинные значения теперь игнорируются UserAttributeSimilarityValidator.

Эта проблема имеет серьезность «средняя» в соответствии с Django security policy.

CVE-2021-45116: Потенциальное раскрытие информации в фильтре шаблонов dictsort

Из-за использования логики разрешения переменных в Django Template Language, фильтр шаблонов dictsort был потенциально уязвим для раскрытия информации или непреднамеренных вызовов методов, если ему передавался соответствующим образом сконструированный ключ.

Чтобы избежать этой возможности, dictsort теперь работает с ограниченной логикой разрешения, которая не будет вызывать методы и не позволит индексировать словари.

Напоминаем, что все недоверенные пользовательские данные должны быть проверены перед использованием.

Эта проблема имеет серьезность «низкая» в соответствии с Django security policy.

CVE-2021-45452: Потенциальный обход каталога через Storage.save()

Storage.save() допускал обход каталога, если ему напрямую передавались соответствующим образом сконструированные имена файлов.

Эта проблема имеет серьезность «низкая» в соответствии с Django security policy.

Вернуться на верх