CVE-2023-23969：通过Accept-Language头信息

潜在的拒绝服务漏洞Accept-Language为了避免重复解析，头信息的解析值会被缓存。如果发送了大型头信息值，这会导致通过过度内存使用而产生的潜在拒绝服务漏洞。

为了避免此漏洞，Accept-Language头信息现在最多会被解析到一定长度。

感谢 Mithril 报告此问题。

根据 Django 安全策略，此问题的严重程度为“中等”。

受影响的支持版本

• Django 主分支
• Django 4.2（目前处于预发布 Alpha 状态）
• Django 4.1
• Django 4.0
• Django 3.2

解决方案

已将解决此问题的补丁应用于 Django 的主分支以及 4.2、4.1、4.0 和 3.2 发布分支。补丁可从以下更改集中获取

• 在主分支上
• 在4.2 发布分支上
• 在4.1 发布分支上
• 在4.0 发布分支上
• 在3.2 发布分支上

已发布以下版本

• Django 4.1.6 (下载 Django 4.1.6 | 4.1.6 校验和)
• Django 4.0.9 (下载 Django 4.0.9 | 4.0.9 校验和)
• Django 3.2.17 (下载 Django 3.2.17 | 3.2.17 校验和)

此版本使用的 PGP 密钥 ID 为 Mariusz Felisiak：2EF56372BA48CD1B。

有关安全报告的常规说明

与往常一样，我们要求通过私人电子邮件将潜在的安全问题报告给security@djangoproject.com，而不是通过 Django 的 Trac 实例或 django-developers 列表。有关更多信息，请参阅我们的安全策略。