Архив вопросов безопасности

Команда разработчиков Django твердо привержена ответственному составлению отчетов и раскрытию проблем, связанных с безопасностью, как указано в политиках безопасности Django .

В рамках этого обязательства мы ведем следующий исторический список проблем, которые были исправлены и раскрыты. Для каждой проблемы приведенный ниже список включает дату, краткое описание, идентификатор CVE, если применимо, список затронутых версий, ссылку на полное раскрытие и ссылки на соответствующие исправления.

К этой информации относятся некоторые важные предостережения:

  • Списки уязвимых версий включают только те версии Django, которые на момент раскрытия имели стабильные выпуски с поддержкой безопасности. Это означает, что более старые версии (срок поддержки безопасности которых истек) и версии, которые находились в предварительном выпуске (альфа / бета / RC) на момент раскрытия, могли быть затронуты, но не перечислены.
  • Проект Django время от времени выпускал рекомендации по безопасности, указывающие на потенциальные проблемы безопасности, которые могут возникнуть из-за неправильной конфигурации или других проблем, не связанных с самим Django. Некоторые из этих рекомендаций получили CVE; в этом случае они перечислены здесь, но, поскольку они не имеют сопутствующих исправлений или выпусков, будут перечислены только описание, раскрытие и CVE.

Проблемы с безопасностью Django

Все проблемы с безопасностью решаются в версиях процесса безопасности Django. Они перечислены ниже.

6 апреля 2021 г. - CVE-2021-28658

Возможный обход каталога через загруженные файлы. Полное описание

Затронутые версии

19 февраля 2021 г. - CVE-2021-23336

Отравление веб-кеша через django.utils.http.limited_parse_qsl(). Полное описание

Затронутые версии

1 февраля 2021 г. - CVE-2021-3281

Возможный обход каталога через archive.extract(). Полное описание

Затронутые версии

1 сентября 2020 г. - CVE-2020-24584

Повышение разрешений в каталогах промежуточного уровня кеша файловой системы на Python 3.7+. Полное описание

Затронутые версии

1 сентября 2020 г. - CVE-2020-24583

Неправильные разрешения для каталогов среднего уровня в Python 3.7+. Полное описание

Затронутые версии

3 июня 2020 г. - CVE-2020-13596

Возможен XSS через админку ForeignKeyRawIdWidget. Полное описание

Затронутые версии

3 июня 2020 г. - CVE-2020-13254

Возможная утечка данных через неверно сформированные ключи memcached. Полное описание

Затронутые версии

4 марта 2020 г. - CVE-2020-9402

Возможная SQL-инъекция через toleranceпараметр в функциях ГИС и агрегатах Oracle. Полное описание

Затронутые версии

3 февраля 2020 г. - CVE-2020-7471

Возможная SQL-инъекция через StringAgg(delimiter). Полное описание

Затронутые версии

18 декабря 2019 г. - CVE-2019-19844

Возможный захват аккаунта через форму для сброса пароля. Полное описание

Затронутые версии

2 декабря 2019 г. - CVE-2019-19118

Повышение привилегий в админке Django. Полное описание

Затронутые версии

1 августа 2019 г. - CVE-2019-14235

Возможное истощение памяти в django.utils.encoding.uri_to_iri(). Полное описание

Затронутые версии

1 августа 2019 г. - CVE-2019-14234

Возможность SQL-инъекции при поиске по ключу и индексу для JSONField/ HStoreField. Полное описание

Затронутые версии

1 августа 2019 г. - CVE-2019-14233

Возможность отказа в обслуживании в strip_tags(). Полное описание

Затронутые версии

1 августа 2019 г. - CVE-2019-14232

Возможность отказа в обслуживании в django.utils.text.Truncator. Полное описание

Затронутые версии

1 июля 2019 г. - CVE-2019-12781

Некорректное определение HTTP при подключении обратного прокси через HTTPS. Полное описание

Затронутые версии

3 июня 2019 г. - CVE-2019-12308

XSS через ссылку «Текущий URL», созданную AdminURLFieldWidget. Полное описание

Затронутые версии

3 июня 2019 г. - CVE-2019-11358

Загрязнение прототипа в связанном jQuery. Полное описание

Затронутые версии

11 февраля 2019 г. - CVE-2019-6975

Истощение памяти в django.utils.numberformat.format(). Полное описание

Затронутые версии

4 января 2019 г. - CVE-2019-3498

Возможность подмены контента на странице 404 по умолчанию. Полное описание

Затронутые версии

1 октября 2018 г. - CVE-2018-16984

Раскрытие хэша пароля для пользователей с правами администратора «только для просмотра». Полное описание

Затронутые версии

1 августа 2018 г. - CVE-2018-14574

Возможность открытого редиректа в CommonMiddleware. Полное описание

Затронутые версии

6 марта 2018 г. - CVE-2018-7537

Отказ в обслуживании возможность в truncatechars_htmlи truncatewords_htmlфильтры шаблонов. Полное описание

Затронутые версии

6 марта 2018 г. - CVE-2018-7536

Отказ в обслуживании возможность в urlizeи urlizetruncфильтры шаблонов. Полное описание

Затронутые версии

1 февраля 2018 г. - CVE-2018-6188

Утечка информации в AuthenticationForm. Полное описание

Затронутые версии

5 сентября 2017 г. - CVE-2017-12794

Возможный XSS в разделе трассировки на странице отладки Technical 500. Полное описание

Затронутые версии

4 апреля 2017 г. - CVE-2017-7234

Уязвимость открытого перенаправления в django.views.static.serve(). Полное описание

Затронутые версии

4 апреля 2017 г. - CVE-2017-7233

Открытое перенаправление и возможная XSS-атака через предоставленные пользователем числовые URL-адреса перенаправления. Полное описание

Затронутые версии

1 ноября 2016 г. - CVE-2016-9014

Уязвимость перепривязки DNS, когда DEBUG=True. Полное описание

Затронутые версии

1 ноября 2016 г. - CVE-2016-9013

Пользователь с жестко заданным паролем, созданным при запуске тестов в Oracle. Полное описание

Затронутые версии

26 сентября 2016 г. - CVE-2016-7401

Обход защиты CSRF на сайте с помощью Google Analytics. Полное описание

Затронутые версии

18 июля 2016 г. - CVE-2016-6186 ¶.

XSS во всплывающем окне администратора, связанном с добавлением / изменением. Полное описание

Затронутые версии

1 марта 2016 г. - CVE-2016-2513

Перечисление пользователей по разнице во времени при обновлении коэффициента работы хешера паролей. Полное описание

Затронутые версии

1 марта 2016 г. - CVE-2016-2512

Вредоносное перенаправление и возможная атака XSS через предоставленные пользователем URL-адреса перенаправления, содержащие базовую аутентификацию. Полное описание

Затронутые версии

1 февраля 2016 г. - CVE-2016-2048

Пользователь с правом «изменять», но не «добавлять» может создавать объекты для пользователей ModelAdminс save_as=True. Полное описание

Затронутые версии

24 ноября 2015 г. - CVE-2015-8213 ¶.

Возможность утечки настроек в dateфильтре шаблона. Полное описание

Затронутые версии

18 августа 2015 г. - CVE-2015-5963 / CVE-2015-5964 ¶.

Возможность отказа в обслуживании logout()при заполнении хранилища сессий. Полное описание

Затронутые версии

8 июля 2015 г. - CVE-2015-5145 ¶.

Возможность отказа в обслуживании при проверке URL. Полное описание

Затронутые версии

8 июля 2015 г. - CVE-2015-5144 ¶.

Возможность внедрения заголовка, поскольку валидаторы принимают ввод новой строки. Полное описание

Затронутые версии

8 июля 2015 г. - CVE-2015-5143 ¶.

Возможность отказа в обслуживании путем заполнения хранилища сессий. Полное описание

Затронутые версии

20 мая 2015 г. - CVE-2015-3982 ¶.

Исправлена ​​очистка сеанса в бэкэнде cached_db. Полное описание

Затронутые версии

18 марта 2015 г. - CVE-2015-2317 ¶.

Снижены возможные атаки XSS через URL-адреса перенаправления, предоставленные пользователем. Полное описание

Затронутые версии

18 марта 2015 г. - CVE-2015-2316 ¶.

Возможность отказа в обслуживании с strip_tags(). Полное описание

Затронутые версии

9 марта 2015 г. - CVE-2015-2241 ¶.

XSS-атака через свойства в ModelAdmin.readonly_fields. Полное описание

Затронутые версии

13 января 2015 г. - CVE-2015-0222 ¶.

Отказ в обслуживании базы данных с помощью ModelMultipleChoiceField. Полное описание

Затронутые версии

13 января 2015 г. - CVE-2015-0221 ¶.

Атака отказа в обслуживании django.views.static.serve(). Полное описание

Затронутые версии

13 января 2015 г. - CVE-2015-0220 ¶.

Снижены возможные атаки XSS через URL-адреса перенаправления, предоставленные пользователем. Полное описание

Затронутые версии

13 января 2015 г. - CVE-2015-0219 ¶.

Подмена заголовка WSGI с помощью сочетания подчеркивания и тире. Полное описание

Затронутые версии

20 августа 2014 г. - CVE-2014-0483

Утечка данных через манипуляции со строкой запроса в админке. Полное описание

Затронутые версии

20 августа 2014 г. - CVE-2014-0482

RemoteUserMiddlewareзахват сеанса. Полное описание

Затронутые версии

20 августа 2014 г. - CVE-2014-0481

Отказ в обслуживании загрузки файла. Полное описание

Затронутые версии

20 августа 2014 г. - CVE-2014-0480 ¶.

reverse()может генерировать URL-адреса, указывающие на другие хосты. Полное описание

Затронутые версии

18 мая 2014 г. - CVE-2014-3730 ¶.

Некорректно сформированные URL-адреса, введенные пользователем. Полное описание

Затронутые версии

18 мая 2014 г. - CVE-2014-1418

Кэшам может быть разрешено хранить и обслуживать личные данные. Полное описание

Затронутые версии

21 апреля 2014 г. - CVE-2014-0474

Приведение типов MySQL вызывает неожиданные результаты запроса. Полное описание

Затронутые версии

21 апреля 2014 г. - CVE-2014-0473

Кеширование анонимных страниц может выявить токен CSRF. Полное описание

Затронутые версии

21 апреля 2014 г. - CVE-2014-0472

Неожиданное выполнение кода с использованием reverse(). Полное описание

Затронутые версии

14 сентября 2013 г. - CVE-2013-1443

Отказ в обслуживании с использованием больших паролей. Полное описание

Затронутые версии

10 сентября 2013 г. - CVE-2013-4315

Обход каталога с помощью ssiтега шаблона. Полное описание

Затронутые версии

13 августа 2013 г. - CVE-2013-6044

Возможен XSS через схемы перенаправления непроверенных URL. Полное описание

Затронутые версии

13 августа 2013 г. - CVE-2013-4249

XSS через доверительные URLFieldзначения администратора . Полное описание

Затронутые версии

19 февраля 2013 г. - CVE-2013-0306

Отказ в обслуживании через max_numобход набора форм . Полное описание

Затронутые версии

19 февраля 2013 г. - CVE-2013-0305

Утечка информации через журнал истории администратора. Полное описание

Затронутые версии

19 февраля 2013 г. - CVE-2013-1664 / CVE-2013-1665

Атаки на основе сущностей на библиотеки Python XML. Полное описание

Затронутые версии

19 февраля 2013 г. - CVE отсутствует

Дополнительное усиление Hostобработки жатки. Полное описание

Затронутые версии

10 декабря 2012 г. - нет CVE 2

Дополнительное усиление проверки перенаправления. Полное описание

Затронутые версии

10 декабря 2012 г. - нет CVE 1

Дополнительное усиление Hostобработки жатки. Полное описание

Затронутые версии

17 октября 2012 г. - CVE-2012-4520 ¶.

Hostотравление заголовка. Полное описание

Затронутые версии

30 июля 2012 г. - CVE-2012-3444 ¶.

Отказ в обслуживании через большие файлы изображений. Полное описание

Затронутые версии

30 июля 2012 г. - CVE-2012-3443 ¶.

Отказ в обслуживании через сжатые файлы изображений. Полное описание

Затронутые версии

30 июля 2012 г. - CVE-2012-3442 ¶.

XSS из-за невозможности проверить схему перенаправления. Полное описание

Затронутые версии

9 сентября 2011 г. - CVE-2011-4140 ¶.

Возможный CSRF через Hostзаголовок. Полное описание

Затронутые версии

Это уведомление носило рекомендательный характер, поэтому никаких исправлений выпущено не было.

  • Django 1.2
  • Django 1.3

9 сентября 2011 г. - CVE-2011-4139

Hostзаражение кеша заголовков. Полное описание

Затронутые версии

9 сентября 2011 г. - CVE-2011-4138

Утечка информации / произвольная выдача запроса через URLField.verify_exists. Полное описание

Затронутые версии

9 сентября 2011 г. - CVE-2011-4137

Отказ в обслуживании через URLField.verify_exists. Полное описание

Затронутые версии

9 сентября 2011 г. - CVE-2011-4136

Управление сеансом при использовании сеанса с поддержкой кеш-памяти. Полное описание

Затронутые версии

8 февраля 2011 г. - CVE-2011-0698

Обход каталогов в Windows из-за неправильной обработки разделителя путей. Полное описание

Затронутые версии

8 февраля 2011 г. - CVE-2011-0697

XSS с использованием необработанных имен загружаемых файлов. Полное описание

Затронутые версии

8 февраля 2011 г. - CVE-2011-0696

CSRF через поддельные заголовки HTTP. Полное описание

Затронутые версии

22 декабря 2010 г. - CVE-2010-4535 ¶.

Отказ в обслуживании в механизме сброса пароля. Полное описание

Затронутые версии

22 декабря 2010 г. - CVE-2010-4534 ¶.

Утечка информации в административном интерфейсе. Полное описание

Затронутые версии

8 сентября 2010 г. - CVE-2010-3082 ¶.

XSS через доверие небезопасному значению cookie. Полное описание

Затронутые версии

9 октября 2009 г. - CVE-2009-3965

Отказ в обслуживании из-за патологической производительности регулярных выражений. Полное описание

Затронутые версии

28 июля 2009 г. - CVE-2009-2659 ¶.

Обход каталога в обработчике носителей сервера разработки. Полное описание

Затронутые версии

2 сентября 2008 г. - CVE-2008-3909

CSRF через сохранение данных POST во время входа в систему администратора. Полное описание

Затронутые версии

14 мая 2008 г. - CVE-2008-2302

XSS через перенаправление входа администратора. Полное описание

Затронутые версии

26 октября 2007 г. - CVE-2007-5712

Отказ в обслуживании через Accept-Languageзаголовок произвольно большого размера . Полное описание

Затронутые версии

Проблемы, предшествующие процессу безопасности Django

Некоторые проблемы безопасности были решены до того, как в Django появился формализованный процесс безопасности. Для них новые выпуски могут не быть выпущены в то время, и CVE могут не быть назначены.

21 января 2007 г. - CVE-2007-0405

Видимое «кеширование» аутентифицированного пользователя. Полное описание

Затронутые версии

16 августа 2006 г. - CVE-2007-0404

Проблема с проверкой имени файла в системе перевода. Полное описание

Затронутые версии

Copyright ©2021 All rights reserved