- Проект Django объявил об исправлении уязвимости, которая затрагивает ветки версий 3.2 и 4.0.
- Уязвимость высокой степени серьезности позволяет развертывать атаки с использованием SQL-инъекций.
- Команда выпустила исправления для применения вручную, а также полные новые установщики, которые доступны для скачивания.
Веб-платформа Django project с открытым исходным кодом на основе Python исправила уязвимость, отслеживаемую как CVE-2022-34265. Уязвимость существует в основной ветке и версиях 3.2 и 4.0, а также 4.1, которая в настоящее время находится в бета-версии. Выпуск Django 4.0.6 и Django 3.2.14 решает проблему безопасности. Команда Django призвала пользователей применить исправление как можно скорее.
Устраняет угрозу внедрения SQL
Команда Django заявила, что функции базы данных Trunc() и Extract() могут приводить к SQL-инъекции, когда в качестве значения kind / lookup_name использовались ненадежные данные. Команда Django заявила,
« Приложения, которые ограничивают имя поиска и выбор типа известным безопасным списком, не затрагиваются. Этот выпуск безопасности устраняет проблему, но мы выявили улучшения в методах API базы данных, связанных с извлечением даты и усечением, которые было бы полезно добавить в Django 4.1 до его окончательного выпуска. Это повлияет на сторонние серверные части базы данных, использующие Django 4.1 release candidate 1 или новее, пока они не смогут обновиться до изменений API. Приносим извинения за доставленные неудобства. »
Пользователи, которые не хотят полностью обновлять свой Django до последней версии, могут вручную применить исправления к используемой ими уязвимой версии. Вы можете использовать следующие ссылки, чтобы перейти на страницы обновлений на GitHub:Вы можете использовать следующие ссылки, чтобы перейти на страницы обновлений на GitHub.
Вы также можете загрузить исправленные версии для ветвей 4.0 и 3.2, на официальном сайте проекта.