已发布安全更新
今天,Django 项目发布了一系列版本以解决安全问题。此问题由第三方在高流量邮件列表中公开披露,并有人尝试利用它攻击活动的 Django 安装;因此,我们绕过了我们针对安全披露的正常政策,并立即发布补丁和更新的版本。
漏洞描述
Django 的表单库 包括执行基于正则表达式的电子邮件地址和 URL 验证的字段类型。某些地址/URL 可能会在这些正则表达式中触发病态性能情况,导致服务器进程/线程无响应,并在较长时间内消耗过多的 CPU。如果故意触发,这可能会导致有效的拒绝服务攻击。
受影响的版本
任何使用以下版本的 Django 应用程序都容易受到攻击EmailField或URLField以下版本存在漏洞
- Django 开发主干
- Django 1.1
- Django 1.0
解决方案
用于电子邮件地址和 URL 验证的正则表达式已修改,以消除病态性能情况。
补丁已在以下变更集中应用
立即发布以下版本
由于此问题正在实际环境中被积极利用,强烈建议所有使用受影响版本的 Django 的用户立即升级或应用相应的补丁。
关于安全报告的说明
如上所述,此问题最初是在高流量邮件列表中公开披露的。我们想提醒我们的用户,安全报告的正确渠道是发送至security@djangoproject.com。这使开发团队有时间制定解决方案并协调披露,既面向整个 Django 社区,也面向维护和分发 Django 打包版本的众多第三方。
在讨论特定问题是否影响安全时,我们要求您谨慎行事,始终联系security@djangoproject.com;我们将非常乐意与您合作分析和评估潜在的安全问题。
返回顶部