Опубликовано 9 июля 2024 г. 19:30 by Xadmin просмотров: 153
Согласно нашей политике выпуска обновлений безопасности, команда Django выпустила обновления для Django 5.0.7 и Django 4.2.14. Эти обновления решают проблемы безопасности, описанные ниже. Мы настоятельно рекомендуем всем пользователям Django обновиться как можно скорее.
CVE-2024-38875: Потенциальная уязвимость типа “отказ в обслуживании” в django.utils.html.urlize()
Функции urlize() и urlizetrunc() могли подвергаться атакам типа “отказ в обслуживании” при определённых входных данных с большим количеством скобок.
Благодарим Элиаса Мюллимаки за сообщение об уязвимости.
Степень серьёзности этой проблемы оценивается как “умеренная” согласно политике безопасности Django.
CVE-2024-39329: Перечисление имен пользователей через различия во времени выполнения для пользователей с недействительными паролями
Метод django.contrib.auth.backends.ModelBackend.authenticate() позволял удалённым атакующим перечислять пользователей через атаку на основе времени, используя запросы на вход в систему для пользователей с недействительными паролями.
Степень серьёзности этой проблемы оценивается как “низкая” согласно политике безопасности Django.
CVE-2024-39330: Потенциальная уязвимость типа “переход по каталогам” в django.core.files.storage.Storage.save()
Производные классы базового класса django.core.files.storage.Storage, которые переопределяют generate_filename() без повторения валидаций пути файла, существующих в родительском классе, допускали потенциальные атаки с переходом по каталогам при вызове save().
Встроенные подклассы Storage не были затронуты этой уязвимостью.
Благодарим Джоша Шнейера за сообщение об уязвимости.
Степень серьёзности этой проблемы оценивается как “низкая” согласно политике безопасности Django.
Affected supported versions
- Django main branch
- Django 5.1 (currently at beta status)
- Django 5.0
- Django 4.2
Resolution
Patches to resolve the issue have been applied to Django's main, 5.1, 5.0, and 4.2 branches. The patches may be obtained from the following changesets.
CVE-2024-38875: Potential denial-of-service in django.utils.html.urlize()
- On the main branch
- On the 5.1 branch
- On the 5.0 branch
- On the 4.2 branch
CVE-2024-39329: Username enumeration through timing difference for users with unusable passwords
- On the main branch
- On the 5.1 branch
- On the 5.0 branch
- On the 4.2 branch
CVE-2024-39330: Potential directory-traversal in django.core.files.storage.Storage.save()
- On the main branch
- On the 5.1 branch
- On the 5.0 branch
- On the 4.2 branch
CVE-2024-39614: Potential denial-of-service in django.utils.translation.get_supported_language_variant()
- On the main branch
- On the 5.1 branch
- On the 5.0 branch
- On the 4.2 branch
The following releases have been issued
- Django 5.0.7 (download Django 5.0.7 | 5.0.7 checksums)
- Django 4.2.14 (download Django 4.2.14 | 4.2.14 checksums)
The PGP key ID used for this release is Natalia Bidart: 2EE82A8D9470983E
General notes regarding security reporting
As always, we ask that potential security issues be reported via private email to security@djangoproject.com, and not via Django's Trac instance, nor via the Django Forum, nor via the django-developers list. Please see our security policies for further information.