详情

已发现 Piston 和 Tastypie 在 YAML 数据的反序列化方面存在类似的漏洞。Piston 和 Tastypie 都使用了yaml.load方法，这是不安全的。在某些情况下，这可能被用于执行任意代码。今天发布的更新版本正确地使用了yaml.safe_load方法，从而防止远程代码执行。未安装yaml模块的服务器不受影响。无论如何，我们建议所有 Piston 或 Tastypie 用户立即升级。

为什么在这里发布此公告？

需要指出的是，此问题**不会**影响所有 Django 框架用户。Piston 和 Tastypie 是第三方模块，并非由 Django 核心团队创建或分发。

但是，我们选择在这里发布此安全更新，因为这些模块在许多 Django 站点上广泛使用。我们希望广泛发布此修复程序能够帮助保护所有 Django 用户。

关于安全性的常规说明

与往常一样，我们要求通过私人电子邮件向security@djangoproject.com报告 Django 中的潜在安全问题，而不是通过 Django 的 Trac 实例或 django-developers 邮件列表。

第三方模块中的安全问题应报告给相关的维护者。如有疑问，我们很乐意接收关于第三方模块的安全报告至security@djangoproject.com；我们可以帮助您找到处理此问题的正确途径。