Django 1.11.11 版本发行说明¶

2018 年 3 月 6 日

Django 1.11.11 修复了 1.11.10 中的两个安全问题。

CVE-2018-7536: `urlize` 和 `urlizetrunc` 模板过滤器中的拒绝服务可能性问题¶

django.utils.html.urlize() 函数在处理某些输入时非常慢，这是由于两个正则表达式中的灾难性回溯漏洞引起的。urlize() 函数用于实现 urlize 和 urlizetrunc 模板过滤器，因此这两个过滤器也存在漏洞。

问题正则表达式被替换为具有相似行为的解析逻辑。

CVE-2018-7537: `truncatechars_html` 和 `truncatewords_html` 模板过滤器中存在拒绝服务可能性问题。¶

如果给 django.utils.text.Truncator 的 chars() 和 words() 方法传递了 html=True 参数，由于正则表达式中的灾难性回溯漏洞，它们在处理某些输入时非常慢。chars() 和 words() 方法用于实现 truncatechars_html 和 truncatewords_html 模板过滤器，因此这两个过滤器也存在漏洞。

正则表达式中的回溯问题已经修复。

Django 1.11.12 版本发行说明

Django 1.11.10 版本发行说明

内容

Django 1.11.11 版本发行说明
- CVE-2018-7536: urlize 和 urlizetrunc 模板过滤器中的拒绝服务可能性问题
- CVE-2018-7537: truncatechars_html 和 truncatewords_html 模板过滤器中存在拒绝服务可能性问题。

浏览

当前位置

Django 5.0 文档
- 发行说明
  - Django 1.11.11 版本发行说明

FAQ: 尝试查看 FAQ — 它包括了很多常见问题的答案
索引, 模块索引, or 目录: 查找特定信息时比较容易
django-users mailing list: 在 django-users 邮件列表存档中搜索信息，或者发布一个问题。
#django IRC channel: 在 #django IRC 频道上提问，或者搜索 IRC 历史找到相似的问题与解答。
Django Discord Server: Join the Django Discord Community.
Official Django Forum: Join the community on the Django Forum.
Ticket tracker: 在我们的 `ticket tracker`_ 中报告 Django 或 Django 文档的 Bug。

下载：

离线 (Django 5.0): HTML | PDF | ePub
由 Read the Docs 提供。

文档

Django 1.11.11 版本发行说明¶

CVE-2018-7536: `urlize` 和 `urlizetrunc` 模板过滤器中的拒绝服务可能性问题¶

CVE-2018-7537: `truncatechars_html` 和 `truncatewords_html` 模板过滤器中存在拒绝服务可能性问题。¶

附加信息

Support Django!

内容

浏览

当前位置

获取帮助

下载：

Django Links

Learn More

Get Involved

Get Help

Follow Us

Support Us

文档

Django 1.11.11 版本发行说明¶

CVE-2018-7536: urlize 和 urlizetrunc 模板过滤器中的拒绝服务可能性问题¶

CVE-2018-7537: truncatechars_html 和 truncatewords_html 模板过滤器中存在拒绝服务可能性问题。¶

附加信息

Support Django!

内容

浏览

当前位置

获取帮助

下载：

CVE-2018-7536: `urlize` 和 `urlizetrunc` 模板过滤器中的拒绝服务可能性问题¶

CVE-2018-7537: `truncatechars_html` 和 `truncatewords_html` 模板过滤器中存在拒绝服务可能性问题。¶