Django 发布安全更新:4.1.2、4.0.8 和 3.2.16
根据我们的安全发布策略,Django 团队发布了Django 4.1.2、Django 4.0.8 和 Django 3.2.16。这些版本解决了下面详述的安全问题。我们鼓励所有 Django 用户尽快升级。
CVE-2022-41323:国际化 URL 中潜在的拒绝服务漏洞
国际化 URL 容易受到通过区域设置参数进行的潜在拒绝服务攻击。现在已对其进行转义以避免此可能性。
根据 Django 安全策略,此问题的严重程度为中等。
感谢 Benjamin Balder Bach 报告此问题。
受影响的支持版本
- Django 主分支
- Django 4.1
- Django 4.0
- Django 3.2
解决方案
已将解决此问题的补丁应用于 Django 的主分支和 4.1、4.0 和 3.2 版本分支。补丁可以从以下变更集中获取
已发布以下版本
- Django 4.1.2 (下载 Django 4.1.2 | 4.1.2 校验和)
- Django 4.0.8 (下载 Django 4.0.8 | 4.0.8 校验和)
- Django 3.2.16 (下载 Django 3.2.16 | 3.2.16 校验和)
此版本使用的 PGP 密钥 ID 为 Carlton Gibson:E17DF5C82B4F9D00。
关于安全报告的常规说明
与以往一样,我们请求您通过私人电子邮件向security@djangoproject.com报告潜在的安全问题,而不是通过 Django 的 Trac 实例或 django-developers 列表报告。请参阅我们的安全策略以获取更多信息。
