Django 安全版本发布:4.1.7、4.0.10 和 3.2.18
根据我们的安全版本发布政策,Django 团队发布了Django 4.1.7、Django 4.0.10 和Django 3.2.18。这些版本解决了下面详细说明的安全问题。我们鼓励所有 Django 用户尽快升级。
CVE-2023-24580:文件上传中的潜在拒绝服务漏洞
向多部分表单传递某些输入可能会导致打开过多的文件或内存耗尽,并为拒绝服务攻击提供了一个潜在的途径。
现在通过新的DATA_UPLOAD_MAX_NUMBER_FILES设置限制解析的文件部件数量。
感谢 Jakob Ackermann 的报告。
根据 Django 安全策略,此问题的严重程度为“中等”。
受影响的支持版本
- Django 主分支
- Django 4.2(目前处于预发布 Alpha 状态)
- Django 4.1
- Django 4.0
- Django 3.2
解决方案
已将解决此问题的补丁应用于 Django 的主分支以及 4.2、4.1、4.0 和 3.2 发布分支。这些补丁可以从以下更改集中获取
已发布以下版本
- Django 4.1.7(下载 Django 4.1.7 | 4.1.7 校验和)
- Django 4.0.10(下载 Django 4.0.10 | 4.0.10 校验和)
- Django 3.2.18(下载 Django 3.2.18 | 3.2.18 校验和)
此版本使用的 PGP 密钥 ID 为 Carlton Gibson:E17DF5C82B4F9D00
有关安全报告的常规说明
与往常一样,我们要求通过私人电子邮件将潜在的安全问题报告给security@djangoproject.com,而不是通过 Django 的 Trac 实例或 django-developers 列表。有关更多信息,请参阅我们的安全策略。
