Примечания к выпуску Django 1.11.11 ¶
6 марта 2018 г.
Django 1.11.11 исправляет две проблемы безопасности в 1.11.10.
CVE-2018-7536: возможность отказа в обслуживании в фильтрах urlizeи urlizetruncшаблонах ¶
django.utils.html.urlize()Функция была очень медленно , чтобы оценить определенные входы из - за катастрофические уязвимости с возвратами в двух регулярных выражениях. urlize()Функция используется для реализации urlizeи
urlizetruncшаблонных фильтров, которые были таким образом уязвимы.
Проблемные регулярные выражения заменяются логикой синтаксического анализа, которая ведет себя аналогичным образом.
CVE-2018-7537: возможность отказа в обслуживании в фильтрах truncatechars_htmlи truncatewords_htmlшаблонах ¶
Если django.utils.text.Truncator«s chars()и words()методы прошли html=Trueаргумент, они были очень медленными , чтобы оценить определенные входы из - за катастрофическую обратное прослеживание уязвимости в регулярном выражении. chars()И words()методы используются для реализации
truncatechars_htmlи truncatewords_htmlфильтров шаблонов, которые были таким образом уязвимыми.
Исправлена проблема с возвратом в регулярном выражении.