Django 发布安全更新:5.0.2、4.2.10 和 3.2.24
根据 我们的安全发布政策,Django 团队发布了 Django 5.0.2、Django 4.2.10 和 Django 3.2.24。这些版本修复了以下安全问题。我们鼓励所有 Django 用户尽快升级。
CVE-2024-24680:潜在的拒绝服务漏洞存在于intcomma模板过滤器
当intcomma模板过滤器与非常长的字符串一起使用时,可能会受到潜在的拒绝服务攻击。
感谢 Seokchan Yoon 报告此问题。
根据 Django 安全策略,此问题的严重程度为“中等”。
受影响的支持版本
- Django 主分支
- Django 5.0
- Django 4.2
- Django 3.2
解决方案
已将解决此问题的补丁应用于 Django 的主分支和 5.0、4.2 和 3.2 稳定分支。补丁可从以下更改集中获取
已发布以下版本
- Django 5.0.2 (下载 Django 5.0.2 | 5.0.2 校验和)
- Django 4.2.10 (下载 Django 4.2.10 | 4.2.10 校验和)
- Django 3.2.24 (下载 Django 3.2.24 | 3.2.24 校验和)
此版本使用的 PGP 密钥 ID 为 Natalia Bidart:2EE82A8D9470983E
关于安全报告的常规说明
与往常一样,我们恳请您通过私人电子邮件将潜在的安全问题报告给security@djangoproject.com,而不是通过 Django 的 Trac 实例、Django 论坛或 django-developers 列表。有关更多信息,请参阅 我们的安全政策。
