Django 发布安全更新:3.1.6、3.0.12 和 2.2.18
根据 我们的安全发布政策,Django 团队发布了 Django 3.1.6、Django 3.0.12 和 Django 2.2.18。这些版本修复了以下描述的严重程度为“低”的安全问题。我们鼓励所有 Django 用户尽快升级。
CVE-2021-3281:通过以下方式可能存在目录遍历漏洞archive.extract()
该django.utils.archive.extract()函数,用于startapp --template和startproject --template,允许通过包含绝对路径或带有点分隔符的相对路径的归档文件进行目录遍历。
感谢王保华报告此问题。
受影响的支持版本
- Django 主分支
- Django 3.2(目前处于 alpha 阶段)
- Django 3.1
- Django 3.0
- Django 2.2
解决方案
已将解决此问题的补丁应用于 Django 的主分支和 3.2、3.1、3.0 和 2.2 发布分支。补丁可以从以下更改集中获取
已发布以下版本
- Django 3.1.6 (下载 Django 3.1.6 | 3.1.6 校验和)
- Django 3.0.12 (下载 Django 3.0.12 | 3.0.12 校验和)
- Django 2.2.18 (下载 Django 2.2.18 | 2.2.18 校验和)
此版本使用的 PGP 密钥 ID 为 Mariusz Felisiak:2EF56372BA48CD1B。
关于安全报告的一般说明
与往常一样,我们请求您通过私人电子邮件将潜在的安全问题报告至security@djangoproject.com,而不是通过 Django 的 Trac 实例或 django-developers 列表。有关更多信息,请参阅 我们的安全政策。
