Django 发布安全更新:3.0.4、2.2.11 和 1.11.29
根据我们的安全发布政策,Django 团队发布了Django 3.0.4、Django 2.2.11 和 Django 1.11.29。这些版本修复了下面详细说明的安全问题。我们鼓励所有 Django 用户尽快升级。
CVE-2020-9402:通过容差参数在 Oracle 上的 GIS 函数和聚合中存在潜在的 SQL 注入漏洞
在 Oracle 上的 GIS 函数和聚合容易受到 SQL 注入攻击,攻击者可以使用精心构造的容差.
感谢 Doyensec 的 Norbert Szetei 报告此问题。
受影响的支持版本
- Django 主分支
- Django 3.0
- Django 2.2
- Django 1.11
解决方案
已将修复此问题的补丁应用于 Django 的主分支和 3.0、2.2 和 1.11 发布分支。补丁可从以下更改集中获取
已发布以下版本
- Django 3.0.4 (下载 Django 3.0.4 | 3.0.4 校验和)
- Django 2.2.11 (下载 Django 2.2.11 | 2.2.11 校验和)
- Django 1.11.29 (下载 Django 1.11.29 | 1.11.29 校验和)
这些版本使用的 PGP 密钥 ID 为 Mariusz Felisiak:2EF56372BA48CD1B。
关于安全报告的一般说明
与往常一样,我们请求您通过私人电子邮件将潜在的安全问题报告给security@djangoproject.com,而不是通过 Django 的 Trac 实例或 django-developers 列表。有关更多信息,请参阅我们的安全政策。
