Примечания к выпуску Django 1.8.19 ¶
6 марта 2018 г.
Django 1.8.19 исправляет две проблемы безопасности в 1.18.18.
CVE-2018-7536: возможность отказа в обслуживании в фильтрах urlize
и urlizetrunc
шаблонах ¶
django.utils.html.urlize()
Функция была очень медленно , чтобы оценить определенные входы из - за катастрофическую обратное прослеживание уязвимости в регулярном выражении. urlize()
Функция используется для реализации urlize
и
urlizetrunc
шаблонных фильтров, которые были таким образом уязвимы.
Проблемное регулярное выражение заменяется логикой синтаксического анализа, которая ведет себя аналогичным образом.
CVE-2018-7537: возможность отказа в обслуживании в фильтрах truncatechars_html
и truncatewords_html
шаблонах ¶
Если django.utils.text.Truncator
«s chars()
и words()
методы прошли html=True
аргумент, они были очень медленными , чтобы оценить определенные входы из - за катастрофическую обратное прослеживание уязвимости в регулярном выражении. chars()
И words()
методы используются для реализации
truncatechars_html
и truncatewords_html
фильтров шаблонов, которые были таким образом уязвимыми.
Исправлена проблема с возвратом в регулярном выражении.