Channels 安全版本发布:3.0.3
根据 我们的安全版本发布策略,Django 团队发布了 Channels 3.0.3。此版本解决了以下安全问题。我们鼓励所有 Channels 用户尽快升级。
CVE-2020-35681:使用旧版 AsgiHandler 可能会泄漏会话数据AsgiHandler
旧版channels.http.AsgiHandler类,在 Django 3.0 之前用于在 ASGI 环境中处理 HTTP 类型请求,在 Channels 3.0 中没有正确分离请求范围。在许多情况下,这会导致崩溃,但在正确的时序下,响应可能会发送到错误的客户端,从而可能导致会话标识符和其他敏感数据的泄漏。
此问题影响 Channels 3.0.x(3.0.3 之前的版本),并在 Channels 3.0.3 中得到解决。
使用ProtocolTypeRouter未显式指定'http'键的处理程序,或那些显式使用channels.http.AsgiHandler的用户(可能为了支持 Django v2.2),都会受到影响,应立即更新。
请参阅 Channels 3.0.3 版本说明 以获取完整详细信息。
有关安全报告的一般说明
与往常一样,我们要求您通过私人电子邮件将潜在的安全问题报告给security@djangoproject.com,而不是通过 Django 的 Trac 实例或 django-developers 列表。请参阅 我们的安全策略 以获取更多信息。
