摘要:
python-django security update
安全等级: Critical
公告ID: KylinSec-SA-2024-3563
发布日期: 2024年8月16日
关联CVE: CVE-2024-38875 CVE-2024-39329 CVE-2024-39330 CVE-2024-39614 CVE-2024-41989 CVE-2024-41990 CVE-2024-41991 CVE-2024-42005
Django 是一个高级的 Python Web 框架,它鼓励快速开发和清晰、实用的设计。
安全修复:
在 Django 4.2 版本中,4.2.14 之前的版本以及 5.0 版本中 5.0.7 之前的版本存在一个问题。urlize 和 urlizetrunc 可能会因为包含大量括号的某些输入而受到潜在的拒绝服务攻击(CVE-2024-38875)。
在 Django 5.0 版本中,5.0.7 之前的版本以及 4.2 版本中 4.2.14 之前的版本存在一个问题。django.contrib.auth.backends.ModelBackend.authenticate() 方法允许远程攻击者通过涉及具有不可用密码的用户登录请求的计时攻击来枚举用户(CVE-2024-39329)。
在 Django 5.0 版本中,5.0.7 之前的版本以及 4.2 版本中 4.2.14 之前的版本存在一个问题。django.core.files.storage.Storage 基类的派生类,在它们重写 generate_filename() 方法而没有复制父类中的文件路径验证时,在 save() 调用期间可能会通过某些输入允许目录遍历(内置 Storage 子类不受影响)(CVE-2024-39330)。
在 Django 5.0 版本中,5.0.7 之前的版本以及 4.2 版本中 4.2.14 之前的版本存在一个问题。get_supported_language_variant() 在使用包含特定字符的非常长字符串时可能会受到潜在的拒绝服务攻击(CVE-2024-39614)。
在 Django 5.0 版本中,5.0.8 之前的版本以及 4.2 版本中 4.2.15 之前的版本存在一个问题。floatformat 模板过滤器在给定科学记数法表示的数字字符串且指数很大时,会消耗大量内存(CVE-2024-41989)。
在 Django 5.0 版本中,5.0.8 之前的版本以及 4.2 版本中 4.2.15 之前的版本存在一个问题。urlize() 和 urlizetrunc() 模板过滤器可能会因为具有特定字符序列的非常大输入而受到潜在的拒绝服务攻击(CVE-2024-41990)。
在 Django 5.0 版本中,5.0.8 之前的版本以及 4.2 版本中 4.2.15 之前的版本存在一个问题。urlize 和 urlizetrunc 模板过滤器以及 AdminURLFieldWidget 小部件可能会因为包含大量 Unicode 字符的某些输入而受到潜在的拒绝服务攻击(CVE-2024-41991)。
在 Django 5.0 版本中,5.0.8 之前的版本以及 4.2 版本中 4.2.15 之前的版本存在一个问题。在具有 JSONField 的模型上,QuerySet.values() 和 values_list() 方法可能会通过作为传递参数的精心构造的 JSON 对象键在列别名中受到 SQL 注入攻击(CVE-2024-42005)。
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
