Django 发布安全更新:4.2.5、4.1.11 和 3.2.21
根据我们的安全发布策略,Django 团队发布了Django 4.2.5、Django 4.1.11 和 Django 3.2.21。这些版本修复了以下详细说明的安全问题。我们鼓励所有 Django 用户尽快升级。
CVE-2023-41164:潜在的拒绝服务漏洞位于django.utils.encoding.uri_to_iri()
django.utils.encoding.uri_to_iri()可能受到某些包含大量 Unicode 字符的输入的拒绝服务攻击。
感谢 MProgrammer 的报告。
根据 Django 安全策略,此问题的严重性为“中等”。
受影响的支持版本
- Django 主分支
- Django 4.2
- Django 4.1
- Django 3.2
解决方案
已将修补程序应用于 Django 的主分支和 4.2、4.1 和 3.2 发布分支以解决此问题。可以从以下变更集中获取这些修补程序
已发布以下版本:
- Django 4.2.5 (下载 Django 4.2.5 | 4.2.5 校验和)
- Django 4.1.11 (下载 Django 4.1.11 | 4.1.11 校验和)
- Django 3.2.21 (下载 Django 3.2.21 | 3.2.21 校验和)
此版本使用的 PGP 密钥 ID 为 Mariusz Felisiak:2EF56372BA48CD1B。
关于安全报告的常规说明
与以往一样,我们请求您通过私人电子邮件向security@djangoproject.com报告潜在的安全问题,而不是通过 Django 的 Trac 实例或 django-developers 列表报告。请参阅我们的安全策略了解更多信息。
