py-bcrypt 安全版本发布
Django Bcrypt 密码哈希器使用的库 py-bcrypt 于周一发布了一个新版本,用于修复一个并发错误,攻击者可能会利用该错误绕过密码检查。py-bcrypt 库的用户应立即升级到 0.3 版本。
需要说明的是,此问题并非影响所有 Django 用户。py-bcrypt 是一个第三方模块,并非由 Django 核心团队创建或分发。
但是,我们选择在此处公布此安全版本,因为 py-bcrypt 在许多 Django 网站上广泛使用,并且 Django 附带的 Bcrypt 密码哈希器也使用了它。我们希望广泛宣传此修复程序能够帮助保护所有 Django 用户。
关于安全的常规说明
与以往一样,我们要求通过私人电子邮件向 security@djangoproject.com 报告 Django 中的潜在安全问题,而不是通过 Django 的 Trac 实例或 django-developers 邮件列表。
第三方模块中的安全问题应报告给相关的维护者。如有疑问,我们很乐意接收有关第三方模块的安全报告,请发送至 security@djangoproject.com;我们可以帮助您找到处理此问题的正确途径。
返回顶部