Django 发布安全更新:4.0.7 和 3.2.15
根据我们的安全发布策略,Django 团队发布了Django 4.0.7 和 Django 3.2.15。这些版本解决了以下详述的安全问题。我们鼓励所有 Django 用户尽快升级。
CVE-2022-36359:潜在的反射式文件下载漏洞FileResponse
当FileResponse文件名来自用户提供的输入时,应用程序可能容易受到设置 `Content-Disposition` 头部的反射式文件下载 (RFD) 攻击。现在已对来自用户提供的输入时,应用程序可能容易受到设置 `Content-Disposition` 头部的反射式文件下载 (RFD) 攻击。进行转义以避免这种情况。
根据 Django 安全策略,此问题具有高严重性。
感谢 Motoyasu Saburi 报告此问题。
受影响的支持版本
- Django 主分支
- Django 4.1(将在今天稍后单独的博客文章中发布)
- Django 4.0
- Django 3.2
解决方案
已将解决此问题的补丁应用于 Django 的主分支和 4.1、4.0 和 3.2 发布分支。可以从以下变更集中获取这些补丁
已发布以下版本:
- Django 4.0.7 (下载 Django 4.0.7 | 4.0.7 校验和)
- Django 3.2.15 (下载 Django 3.2.15 | 3.2.15 校验和)
此版本使用的 PGP 密钥 ID 为 Carlton Gibson:E17DF5C82B4F9D00。
关于安全报告的常规说明
与以往一样,我们要求通过私人电子邮件向security@djangoproject.com报告潜在的安全问题,而不是通过 Django 的 Trac 实例或 django-developers 列表报告。请参阅我们的安全策略,了解更多信息。
