Django 3.2.22 リリースノート¶
2023年10月4日
Django 3.2.22 は、3.2.21における "moderate" の重大度を持つセキュリティ問題を修正します。
CVE-2023-43665: django.utils.text.Truncator
におけるサービス拒否攻撃 (DoS) の可能性¶
CVE-2019-14232 の修正に伴い、django.utils.text.Truncator
の chars()
メソッドと words()
メソッド(html=True
を使用した 場合)の実装に使用される正規表現が見直され、改善されました。しかし、これらの正規表現は依然として線形バックトラッキングの複雑さを示しているため、非常に長い、潜在的に不正な HTML 入力が与えられた場合、評価は依然として遅く、潜在的なサービス拒否 (DoS) の脆弱性につながりました。
chars()
と words()
メソッドは、それによって脆弱性があった truncatechars_html
と truncatewords_html
テンプ レートフィルタの実装に使用されます。
Truncator
がHTMLモードで動作している場合に処理される入力は、潜在的なパフォーマンスとメモリの問題を避けるために最初の500万文字に制限されています。