Примечания к выпуску Django 1.8.19

6 марта 2018 г.

Django 1.8.19 исправляет две проблемы безопасности в 1.18.18.

CVE-2018-7536: возможность отказа в обслуживании в фильтрах urlize и urlizetrunc шаблонах

django.utils.html.urlize() Функция была очень медленно , чтобы оценить определенные входы из - за катастрофическую обратное прослеживание уязвимости в регулярном выражении. urlize() Функция используется для реализации urlize и urlizetrunc шаблонных фильтров, которые были таким образом уязвимы.

Проблемное регулярное выражение заменяется логикой синтаксического анализа, которая ведет себя аналогичным образом.

CVE-2018-7537: возможность отказа в обслуживании в фильтрах truncatechars_html и truncatewords_html шаблонах

Если django.utils.text.Truncator «s chars() и words() методы прошли html=True аргумент, они были очень медленными , чтобы оценить определенные входы из - за катастрофическую обратное прослеживание уязвимости в регулярном выражении. chars() И words() методы используются для реализации truncatechars_html и truncatewords_html фильтров шаблонов, которые были таким образом уязвимыми.

Исправлена ​​проблема с возвратом в регулярном выражении.

Copyright ©2020 All rights reserved