Django 发布安全更新:2.0.8 和 1.11.15
根据 我们的安全发布政策,Django 团队发布了 Django 1.11.15 和 Django 2.0.8。这些版本修复了下面详述的安全问题。我们鼓励所有 Django 用户尽快升级。
CVE-2018-14574:中的开放重定向漏洞CommonMiddleware
如果django.middleware.common.CommonMiddleware和APPEND_SLASH设置都启用,并且项目具有接受以斜杠结尾的任何路径的 URL 模式(许多内容管理系统都有这样的模式),那么对该站点恶意构造的 URL 的请求可能导致重定向到另一个站点,从而导致网络钓鱼和其他攻击。
感谢 Andreas Hug 报告此问题。
受影响的支持版本
- Django 主分支
- Django 2.1(将在今天晚些时候的单独博客文章中发布)
- Django 2.0
- Django 1.11
根据我们的 支持版本政策,Django 1.10 及更早版本不再受支持。
解决方案
已将解决此问题的补丁应用于 Django 的主分支和 2.1、2.0 和 1.11 发布分支。补丁可从以下更改集中获取
已发布以下版本
- Django 1.11.15 (下载 Django 1.11.15 | 1.11.15 校验和)
- Django 2.0.8 (下载 Django 2.0.8 | 2.0.8 校验和)
这些版本使用的 PGP 密钥 ID 为 Tim Graham:1E8ABDC773EDE252。
关于安全报告的一般说明
与往常一样,我们要求通过私人电子邮件将潜在的安全问题报告给security@djangoproject.com,而不是通过 Django 的 Trac 实例或 django-developers 列表。请参阅 我们的安全政策 以获取更多信息。
