Django 发布安全更新:2.1.5、2.0.10 和 1.11.18
根据 我们的安全发布策略,Django 团队发布了 Django 1.11.18、Django 2.0.10 和 Django 2.1.5。这些版本修复了以下安全问题。我们鼓励所有 Django 用户尽快升级。
CVE-2019-3498:默认 404 页面存在内容伪造的可能性
攻击者可以构造一个恶意 URL,使其在由django.views.defaults.page_not_found()视图生成的默认页面上显示伪造的内容。
默认 404 模板中不再显示 URL 路径,并且request_path上下文变量现在已加引号,以解决使用路径的自定义模板的问题。
解决方案
已将解决此问题的补丁应用于 Django 的主分支和 2.1、2.0 和 1.11 发布分支。补丁可从以下更改集中获取
- 在 主分支上
- 在 2.1 发布分支上
- 在 2.0 发布分支上
- 在 1.11 发布分支上
已发布以下版本
- Django 1.11.18 (下载 Django 1.11.18 | 1.11.18 校验和)
- Django 2.0.10 (下载 Django 2.0.10 | 2.0.10 校验和)
- Django 2.1.5 (下载 Django 2.1.5 | 2.1.5 校验和)
这些版本使用的 PGP 密钥 ID 为 Tim Graham:1E8ABDC773EDE252。
关于安全报告的常规说明
与往常一样,我们恳请您通过私人电子邮件将潜在的安全问题报告给security@djangoproject.com,而不是通过 Django 的 Trac 实例、Django 的 GitHub 存储库或 django-developers 列表。有关更多信息,请参阅 我们的安全策略。
此问题是通过 GitHub 拉取请求公开报告的,因此我们尽快修复了该问题,而没有采用通常的 预通知流程。
