The web framework for perfectionists with deadlines.

Dokumentation
  • dev
  • Documentation version: 5.2

Django 1.11.11 release notes

6 mars 2018

Django 1.11.11 åtgärdar två säkerhetsproblem i 1.11.10.

CVE-2018-7536: Denial-of-service-möjlighet i mallfiltren urlize och urlizetrunc

Funktionen django.utils.html.urlize() var extremt långsam när den utvärderade vissa inmatningar på grund av katastrofala sårbarheter för backtracking i två reguljära uttryck. Funktionen urlize() används för att implementera mallfiltren urlize och urlizetrunc, som därmed var sårbara.

De problematiska reguljära uttrycken ersätts med parsinglogik som beter sig på liknande sätt.

CVE-2018-7537: Denial-of-service-möjlighet i mallfiltren truncatechars_html och truncatewords_html

Om django.utils.text.Truncator’s chars() och words() metoder fick argumentet html=True, var de extremt långsamma att utvärdera vissa indata på grund av en katastrofal backtracking-sårbarhet i ett reguljärt uttryck. Metoderna chars() och words() används för att implementera mallfiltren truncatechars_html och truncatewords_html, som därmed var sårbara.

Backtracking-problemet i det reguljära uttrycket är åtgärdat.

Back to Top

Additional Information

Support Django!

Support Django!

Contents

Getting help

FAQ
Try the FAQ — it's got answers to many common questions.
Index, Module Index, or Table of Contents
Handy when looking for specific information.
Django Discord Server
Join the Django Discord Community.
Official Django Forum
Join the community on the Django Forum.
Ticket tracker
Report bugs with Django or Django documentation in our ticket tracker.

Offline (Django 5.2): HTML | PDF | ePub
Provided by Read the Docs.