已发布安全修复
根据我们的安全策略,今晚将发布一系列版本以修复已向 Django 项目报告的安全漏洞。此条目包含漏洞描述、修复更改说明、各个受支持 Django 版本的相关补丁指针以及最终版本的指针。此信息副本也将发布到 django-users 和 django-developers 邮件列表。Django 网站正在更新以反映新版本。
漏洞描述
当未经充分身份验证的用户访问 Django 管理应用程序时,它将显示登录表单并要求用户提供必要的凭据,然后才能显示请求的页面。此表单将提交到用户尝试访问的 URL,方法是将当前请求路径作为表单“action”属性的值提供。
请求路径的值未进行转义,这为跨站点脚本 (XSS) 攻击创造了机会,方法是将用户引导到 URL,该 URL 在请求路径中包含 URL 编码的 HTML 和/或 JavaScript。
受影响的版本
- Django 开发主干
- Django 0.96
- Django 0.95
- Django 0.91
解决方案
登录表单已更改为在用作表单提交操作之前转义请求路径。
受影响的 Django 版本的相关更改集为:
- Django 开发主干:Changeset 7521
- Django 0.96:Changeset 7527
- Django 0.95:Changeset 7528
- Django 0.91:Changeset 7529
根据上述更改集发布了以下版本:
强烈建议所有使用受影响版本的 Django 的用户尽快应用相关补丁或升级到相关的已修补版本。
发行管理者说明
如果您维护的是 Django 的第三方软件包,并且您今晚早些时候没有收到这些版本的公告,请尽快发送电子邮件给 James Bennett (ubernostrum@gmail.com)。
另外,请注意,潜在的安全漏洞应直接报告给 Django 项目,地址为 security@djangoproject.com,如我们的安全策略中所述。遵循此程序有助于我们保持高标准的响应和披露,并使调查和解决安全问题对所有相关人员来说都更容易。
返回顶部