The Django weblog
·
Django 安全更新发布:5.0.7 和 4.2.14
💡
原文英文,约300词,阅读约需1分钟。
📝
内容提要
Django发布了5.0.7和4.2.14版本的安全更新,修复了拒绝服务攻击、用户名枚举和目录遍历等几个安全问题。建议用户尽快升级。
🎯
关键要点
- Django发布了5.0.7和4.2.14版本的安全更新。
- 这些更新修复了多个安全问题,包括拒绝服务攻击、用户名枚举和目录遍历。
- 建议所有Django用户尽快升级。
- CVE-2024-38875:django.utils.html.urlize()存在潜在的拒绝服务攻击,严重性为中等。
- CVE-2024-39329:通过时间差进行用户名枚举,严重性为低。
- CVE-2024-39330:django.core.files.storage.Storage.save()存在潜在的目录遍历,严重性为低。
- CVE-2024-39614:django.utils.translation.get_supported_language_variant()存在潜在的拒绝服务攻击,严重性为中等。
- 受影响的支持版本包括Django 5.1(当前为测试状态)、Django 5.0和Django 4.2。
❓
延伸问答
Django 5.0.7和4.2.14版本更新了什么内容?
这两个版本的更新修复了拒绝服务攻击、用户名枚举和目录遍历等多个安全问题。
Django用户应该如何处理这些安全更新?
建议所有Django用户尽快升级到最新版本以确保安全。
CVE-2024-38875是什么问题?
CVE-2024-38875是django.utils.html.urlize()存在潜在的拒绝服务攻击,严重性为中等。
Django 5.1版本是否受到影响?
Django 5.1版本目前处于测试状态,受影响的版本包括Django 5.0和4.2。
CVE-2024-39329的严重性如何?
CVE-2024-39329的严重性被评估为低,涉及通过时间差进行用户名枚举。
如何防范CVE-2024-39330带来的风险?
开发者应确保在重写generate_filename()时复制父类中的文件路径验证,以防止目录遍历。
➡️
