CVE-2020-24583：Python 3.7+ 中中间级目录的权限错误

在 Python 3.7 及更高版本上，FILE_UPLOAD_DIRECTORY_PERMISSIONS模式未应用于上传文件过程中创建的中间级目录，以及使用collectstatic管理命令时中间级收集的静态目录。

您应该检查并手动修复现有中间级目录的权限。

CVE-2020-24584：Python 3.7+ 中文件系统缓存中间级目录的权限提升

在 Python 3.7 及更高版本上，文件系统缓存的中间级目录具有系统的标准 umask，而不是0o077（无组或其他权限）。

受影响的受支持版本

• Django 主分支
• Django 3.1
• Django 3.0
• Django 2.2

解决方案

已将解决此问题的补丁应用于 Django 的主分支和 3.1、3.0 和 2.2 发布分支。补丁可从以下变更集中获取

CVE-2020-24583

• 在 主分支上
• 在 3.1 发布分支上
• 在 3.0 发布分支上
• 在 2.2 发布分支上

CVE-2020-24584

• 在 主分支上
• 在 3.1 发布分支上
• 在 3.0 发布分支上
• 在 2.2 发布分支上

已发布以下版本

• Django 3.1.1 (下载 Django 3.1.1 | 3.1.1 校验和)
• Django 3.0.10 (下载 Django 3.0.10 | 3.0.10 校验和)
• Django 2.2.16 (下载 Django 2.2.16 | 2.2.16 校验和)

这些版本使用的 PGP 密钥 ID 为 Carlton Gibson：E17DF5C82B4F9D00。

关于安全报告的常规说明

与往常一样，我们要求通过私人电子邮件向security@djangoproject.com报告潜在的安全问题，而不是通过 Django 的 Trac 实例或 django-developers 列表。请参阅我们的安全策略以获取更多信息。