Примечания к выпуску Django 1.8.19 ¶
6 марта 2018 г.
Django 1.8.19 исправляет две проблемы безопасности в 1.18.18.
CVE-2018-7536: возможность отказа в обслуживании в фильтрах urlize и urlizetrunc шаблонах ¶
django.utils.html.urlize() Функция была очень медленно , чтобы оценить определенные входы из - за катастрофическую обратное прослеживание уязвимости в регулярном выражении. urlize() Функция используется для реализации urlize и
urlizetrunc шаблонных фильтров, которые были таким образом уязвимы.
Проблемное регулярное выражение заменяется логикой синтаксического анализа, которая ведет себя аналогичным образом.
CVE-2018-7537: возможность отказа в обслуживании в фильтрах truncatechars_html и truncatewords_html шаблонах ¶
Если django.utils.text.Truncator «s chars() и words() методы прошли html=True аргумент, они были очень медленными , чтобы оценить определенные входы из - за катастрофическую обратное прослеживание уязвимости в регулярном выражении. chars() И words() методы используются для реализации
truncatechars_html и truncatewords_html фильтров шаблонов, которые были таким образом уязвимыми.
Исправлена проблема с возвратом в регулярном выражении.