Django 发布安全更新:3.2.10、3.1.14 和 2.2.25
根据 我们的安全发布策略,Django 团队发布了 Django 3.2.10、Django 3.1.14 和 Django 2.2.25。这些版本解决了下面详述的安全问题。我们鼓励所有 Django 用户尽快升级。
CVE-2021-44420:基于 URL 路径的上游访问控制的潜在绕过
包含尾随换行符的 URL 的 HTTP 请求可能会绕过基于 URL 路径的上游访问控制。
根据 Django 安全策略,此问题严重程度较低。
感谢 Sjoerd Job Postmus 和 TengMA(@te3t123) 报告此问题。
受影响的支持版本
- Django 主分支
- Django 4.0(将在今天晚些时候的单独博文中发布)
- Django 3.2
- Django 3.1
- Django 2.2
解决方案
已将解决此问题的补丁应用于 Django 的主分支以及 4.0、3.2、3.1 和 2.2 发布分支。可以从以下更改集中获取这些补丁
已发布以下版本
- Django 3.2.10 (下载 Django 3.2.10 | 3.2.10 校验和)
- Django 3.1.14 (下载 Django 3.1.14 | 3.1.14 校验和)
- Django 2.2.25 (下载 Django 2.2.25 | 2.2.25 校验和)
此版本使用的 PGP 密钥 ID 为 Mariusz Felisiak:2EF56372BA48CD1B。
关于安全报告的常规说明
与往常一样,我们请求您通过私人电子邮件将潜在的安全问题报告给security@djangoproject.com,而不是通过 Django 的 Trac 实例或 django-developers 列表。有关更多信息,请参阅 我们的安全策略。
