Архив вопросов безопасности

Команда разработчиков Django стремится сообщать и публиковать уязвимости безопасности, как описано в политиках безопасности Django .

В рамках этого обязательства мы ведем следующий исторический список проблем, которые были исправлены и опубликованы. Для каждой проблемы приведенный ниже список содержит дату, краткое описание, CVE ID, если применимо, список затронутых версий, ссылку на полное объявление и ссылки на соответствующие исправления.

Некоторые важные оговорки, применимые к этой информации

  • Списки выпусков, подверженных уязвимости, содержат только версии Django, которые имеют стабильный статус и состояние исправлений безопасности на момент выпуска исправлений. Это означает, что более старые версии (для которых истек срок поддержки безопасности) и версии в предварительном выпуске (альфа / бета / RC) на момент объявления также могли быть затронуты, но не не отображаются в списке.
  • Проект Django время от времени выпускает предупреждения безопасности, указывая на потенциальные проблемы безопасности, которые могут возникнуть из-за неправильных конфигураций или использования кода, внешнего по отношению к Django. Некоторым из этих предупреждений был присвоен код CVE; когда это происходит, они появляются в этом списке, но поскольку они не содержат никаких исправлений или выпусков кода, видны только описание, реклама и код CVE.

Проблемы, предшествующие процессу безопасности Django

Некоторые проблемы безопасности были решены до того, как в Django появился официальный процесс безопасности. Для них, возможно, не было новых выпусков от Django и не запрашивался код CVE.

16 августа 2006 г. - CVE-2007-0404

Проблема с проверкой имени файла в системе перевода. Полное описание

Затронутые версии

21 января 2007 г. - CVE-2007-0405

Видимое "кеширование" аутентифицированного пользователя. Полное описание

Затронутые версии

Проблемы, связанные с процессом безопасности Django

Все остальные проблемы решаются в рамках процесса безопасности Django. Они перечислены ниже.

26 октября 2007 г. - CVE-2007-5712

Отказ в обслуживании через Accept-Language заголовок произвольно большого размера . Полное описание

Затронутые версии

14 мая 2008 г. - CVE-2008-2302

XSS через перенаправление входа администратора. Полное описание

Затронутые версии

2 сентября 2008 г. - CVE-2008-3909

CSRF через сохранение данных POST во время входа в систему администратора. Полное описание

Затронутые версии

28 июля 2009 г. - CVE-2009-2659 ¶.

Обход каталога в обработчике носителей сервера разработки. Полное описание

Затронутые версии

9 октября 2009 г. - CVE-2009-3965

Отказ в обслуживании из-за патологической производительности регулярных выражений. Полное описание

Затронутые версии

8 сентября 2010 г. - CVE-2010-3082 ¶.

XSS через доверие небезопасному значению cookie. Полное описание

Затронутые версии

22 декабря 2010 г. - CVE-2010-4534 ¶.

Утечка информации в административном интерфейсе. Полное описание

Затронутые версии

22 декабря 2010 г. - CVE-2010-4535 ¶.

Отказ в обслуживании в механизме сброса пароля. Полное описание

Затронутые версии

8 февраля 2011 г. - CVE-2011-0696

CSRF через поддельные заголовки HTTP. Полное описание

Затронутые версии

8 февраля 2011 г. - CVE-2011-0697

XSS через необработанные имена загруженных файлов. Полное описание

Затронутые версии

8 февраля 2011 г. - CVE-2011-0698

Обход каталогов в Windows из-за неправильной обработки разделителя путей. Полное описание

Затронутые версии

9 сентября 2011 г. - CVE-2011-4136

Управление сеансом при использовании сеанса с поддержкой кеш-памяти. Полное описание

Затронутые версии

9 сентября 2011 г. - CVE-2011-4137

Отказ в обслуживании через URLField.verify_exists . Полное описание

Затронутые версии

9 сентября 2011 г. - CVE-2011-4138

Утечка информации / произвольная выдача запроса через URLField.verify_exists . Полное описание

Затронутые версии

9 сентября 2011 г. - CVE-2011-4139

Host заражение кеша заголовков. Полное описание

Затронутые версии

9 сентября 2011 г. - CVE-2011-4140 ¶.

Возможный CSRF через Host заголовок. Полное описание

Затронутые версии

Это уведомление носит рекомендательный характер, поэтому никаких исправлений выпущено не было.

  • Django 1.2
  • Django 1.3

30 июля 2012 г. - CVE-2012-3442 ¶.

XSS из-за отказа проверить схему перенаправления. Полное описание

Затронутые версии

30 июля 2012 г. - CVE-2012-3443 ¶.

Отказ в обслуживании через сжатые файлы изображений. Полное описание

Затронутые версии

30 июля 2012 г. - CVE-2012-3444 ¶.

Отказ в обслуживании через большие файлы изображений. Полное описание

Затронутые версии

17 октября 2012 г. - CVE-2012-4520

Host отравление заголовка. Полное описание

Затронутые версии

10 декабря 2012 г. - нет CVE 1

Дополнительное усиление работы с Host жатками. Полное описание

Затронутые версии

10 декабря 2012 г. - нет CVE 2

Дополнительное усиление проверки перенаправления. Полное описание

Затронутые версии

19 февраля 2013 г. - CVE отсутствует

Дополнительное усиление работы с Host жатками. Полное описание

Затронутые версии

19 февраля 2013 г. - CVE-2013-1664 / CVE-2013-1665

Атаки на основе сущностей на библиотеки Python XML. Полное описание

Затронутые версии

19 февраля 2013 г. - CVE-2013-0305

Утечка информации через журнал истории администратора. Полное описание

Затронутые версии

19 февраля 2013 г. - CVE-2013-0306

Отказ в обслуживании через max_num обход набора форм . Полное описание

Затронутые версии

13 августа 2013 г. - CVE-2013-4249

XSS через доверительные URLField значения администратора . Полное описание

Затронутые версии

13 августа 2013 г. - CVE-2013-6044

Возможен XSS через схемы перенаправления непроверенных URL. Полное описание

Затронутые версии

10 сентября 2013 г. - CVE-2013-4315

Обход каталога с помощью ssi тега шаблона. Полное описание

Затронутые версии

14 сентября 2013 г. - CVE-2013-1443

Отказ в обслуживании с использованием больших паролей. Полное описание

Затронутые версии

21 апреля 2014 г. - CVE-2014-0472

Неожиданное выполнение кода с использованием reverse() . Полное описание

Затронутые версии

21 апреля 2014 г. - CVE-2014-0473

Кеширование анонимных страниц может выявить токен CSRF. Полное описание

Затронутые версии

21 апреля 2014 г. - CVE-2014-0474

Приведение типов MySQL вызывает неожиданные результаты запроса. Полное описание

Затронутые версии

18 мая 2014 г. - CVE-2014-1418

Кэшам может быть разрешено хранить и обслуживать личные данные. Полное описание

Затронутые версии

18 мая 2014 г. - CVE-2014-3730 ¶.

Некорректно сформированные URL-адреса, введенные пользователем. Полное описание

Затронутые версии

20 августа 2014 г. - CVE-2014-0480 ¶.

reverse() может генерировать URL-адреса, указывающие на другие хосты. Полное описание

Затронутые версии

20 августа 2014 г. - CVE-2014-0481

Отказ в обслуживании загрузки файла. Полное описание

Затронутые версии

20 августа 2014 г. - CVE-2014-0482

RemoteUserMiddleware угон сеанса. Полное описание

Затронутые версии

20 августа 2014 г. - CVE-2014-0483

Утечка данных через манипуляции со строкой запроса в админке. Полное описание

Затронутые версии

13 января 2015 г. - CVE-2015-0219 ¶.

Подмена заголовка WSGI с помощью сочетания подчеркивания и тире. Полное описание

Затронутые версии

13 января 2015 г. - CVE-2015-0220 ¶.

Снижены возможные атаки XSS через URL-адреса перенаправления, предоставленные пользователем. Полное описание

Затронутые версии

13 января 2015 г. - CVE-2015-0221 ¶.

Атака отказа в обслуживании против django.views.static.serve() . Полное описание

Затронутые версии

13 января 2015 г. - CVE-2015-0222

Отказ в обслуживании базы данных с помощью ModelMultipleChoiceField . Полное описание

Затронутые версии

9 марта 2015 г. - CVE-2015-2241 ¶.

XSS-атака через свойства в ModelAdmin.readonly_fields . Полное описание

Затронутые версии

18 марта 2015 г. - CVE-2015-2316

Возможность отказа в обслуживании с strip_tags() . Полное описание

Затронутые версии

18 марта 2015 г. - CVE-2015-2317

Сниженная атака XSS возможна через предоставляемые пользователем URL-адреса перенаправления. Полное описание

Затронутые версии

20 мая 2015 г. - CVE-2015-3982

Исправлена ​​очистка сеанса в бэкэнде cached_db. Полное описание

Затронутые версии

8 июля 2015 г. - CVE-2015-5143 ¶.

Возможность отказа в обслуживании путем заполнения хранилища сессий. Полное описание

Затронутые версии

8 июля 2015 г. - CVE-2015-5144 ¶.

Возможность внедрения в заголовки, поскольку валидаторы принимают перевод строки в качестве ввода. Полное описание

Затронутые версии

8 июля 2015 г. - CVE-2015-5145 ¶.

Возможность отказа в обслуживании при проверке URL. Полное описание

Затронутые версии

18 августа 2015 г. - CVE-2015-5963 / CVE-2015-5964

Возможность отказа в обслуживании logout() при заполнении хранилища сессий. Полное описание

Затронутые версии

24 ноября 2015 г. - CVE-2015-8213 ¶.

Возможность утечки настроек в date фильтре шаблона. Полное описание

Затронутые версии

1 февраля 2016 г. - CVE-2016-2048

Пользователь с правом «изменять», но не «добавлять» может создавать объекты для пользователей ModelAdmin с save_as=True . Полное описание

Затронутые версии

1 марта 2016 г. - CVE-2016-2512

Вредоносное перенаправление и возможные атаки XSS через предоставленные пользователем URL-адреса перенаправления, содержащие базовую аутентификацию. Полное описание

Затронутые версии

1 марта 2016 г. - CVE-2016-2513

Перечисление пользователей по разнице во времени при обновлении рабочего фактора хеширования паролей. Полное описание

Затронутые версии

18 июля 2016 г. - CVE-2016-6186 ¶.

XSS в окнах для добавления / изменения связанных элементов. Полное описание

Затронутые версии

26 сентября 2016 г. - CVE-2016-7401

Обход защиты CSRF для сайта с помощью Google Analytics. Полное описание

Затронутые версии

1 ноября 2016 г. - CVE-2016-9013

Пользователь с жестко заданным паролем при запуске тестов с Oracle. Полное описание

Затронутые версии

1 ноября 2016 г. - CVE-2016-9014

Уязвимость повторного связывания DNS с доменом DEBUG=True . Полное описание

Затронутые версии

4 апреля 2017 г. - CVE-2017-7233

Открытое перенаправление и возможные атаки XSS через URL-адреса цифрового перенаправления, предоставленные пользователями. Полное описание

Затронутые версии

4 апреля 2017 г. - CVE-2017-7234

Уязвимость открытого перенаправления в django.views.static.serve() . Полное описание

Затронутые версии

5 сентября 2017 г. - CVE-2017-12794

Возможная атака XSS в разделе «трассировка» страницы 500 технической отладки. Полное описание

Затронутые версии

1 февраля 2018 г. - CVE-2018-6188

Утечка информации в форме AuthenticationForm . Полное описание

Затронутые версии

6 марта 2018 г. - CVE-2018-7536

Возможность отказа в обслуживании в шаблонных фильтрах urlize и urlizetrunc . Полное описание

Затронутые версии

6 марта 2018 г. - CVE-2018-7537

Возможность отказа в обслуживании в шаблонных фильтрах truncatechars_html и truncatewords_html . Полное описание

Затронутые версии

1 августа 2018 г. - CVE-2018-14574

Возможность открытого перенаправления в CommonMiddleware . Полное описание

Затронутые версии

1 октября 2018 г. - CVE-2018-16984

Раскрытие отпечатка пароля для пользователей сайта администрирования "только для чтения". Полное описание

Затронутые версии

4 января 2019 г. - CVE-2019-3498

Возможность подмены контента на странице 404 по умолчанию. Полное описание

Затронутые версии

11 февраля 2019 г. - CVE-2019-6975

Истощение памяти в django.utils.numberformat.format() . Полное описание

Затронутые версии

3 июня 2019 г. - CVE-2019-11358

Загрязнение прототипа в связанном jQuery. Полное описание

Затронутые версии

3 июня 2019 г. - CVE-2019-12308

XSS через ссылку «Текущий URL», созданную AdminURLFieldWidget . Полное описание

Затронутые версии

1 июля 2019 г. - CVE-2019-12781

Неправильное определение HTTP при подключении обратного прокси через HTTPS. Полное описание

Затронутые версии

1 августа 2019 г. - CVE-2019-14232

Возможность отказа в обслуживании в django.utils.text.Truncator . Полное описание

Затронутые версии

1 августа 2019 г. - CVE-2019-14233

Возможность отказа в обслуживании в strip_tags() . Полное описание

Затронутые версии

1 августа 2019 г. - CVE-2019-14234

Возможность SQL-инъекции при поиске по ключу и индексу для JSONField / HStoreField . Полное описание

Затронутые версии

1 августа 2019 г. - CVE-2019-14235

Возможное истощение памяти в django.utils.encoding.uri_to_iri() . Полное описание

Затронутые версии

2 декабря 2019 г. - CVE-2019-19118

Повышение привилегий в админке Django. Полное описание

Затронутые версии

18 декабря 2019 г. - CVE-2019-19844

Возможный захват аккаунта через форму сброса пароля. Полное описание

Затронутые версии

3 февраля 2020 г. - CVE-2020-7471

Возможная SQL-инъекция через StringAgg(delimiter) . Полное описание

Затронутые версии

4 марта 2020 г. - CVE-2020-9402

Возможное внедрение SQL через tolerance параметр в функциях ГИС и агрегатах Oracle. Полное описание

Затронутые версии

3 июня 2020 г. - CVE-2020-13254

Возможная утечка данных через неверно сформированные ключи memcached. Полное описание

Затронутые версии

3 июня 2020 г. - CVE-2020-13596

Возможен XSS через админку ForeignKeyRawIdWidget . Полное описание

Затронутые версии

Copyright ©2020 All rights reserved