已发布 Django 安全版本:3.2.1、3.1.9 和 2.2.21
根据我们的安全版本策略,Django 团队正在发布Django 3.2.1、Django 3.1.9 和 Django 2.2.21。这些版本解决了下面详述的安全问题。我们鼓励所有 Django 用户尽快升级。
CVE-2021-31542:通过上传的文件进行潜在的目录遍历
MultiPartParser, UploadedFile和FieldFile允许通过具有经过特殊设计的名称的文件进行目录遍历。
为了减轻此风险,现在应用了更严格的基名和路径清理。
根据 Django 安全策略,此问题严重程度较低。
感谢 Jasu Viding 报告此问题。
受影响的支持版本
- Django 主分支
- Django 3.2
- Django 3.1
- Django 2.2
解决方案
已将解决此问题的补丁应用于 Django 的主分支以及 3.2、3.1 和 2.2 发行分支。补丁可以从以下 changesets 获取
已发布以下版本
- Django 3.2.1 (下载 Django 3.2.1 | 3.2.1 校验和)
- Django 3.1.9 (下载 Django 3.1.9 | 3.1.9 校验和)
- Django 2.2.21 (下载 Django 2.2.21 | 2.2.21 校验和)
这些版本使用的 PGP 密钥 ID 为 Carlton Gibson:E17DF5C82B4F9D00。
关于安全报告的常规说明
与以往一样,我们要求通过私人电子邮件向security@djangoproject.com报告潜在的安全问题,而不是通过 Django 的 Trac 实例或 django-developers 列表报告。请参阅我们的安全策略,了解更多信息。
