Примечания к выпуску Django 1.8.19¶
6 марта 2018 г.
В Django 1.8.19 исправлены две проблемы безопасности в версии 1.18.18.
CVE-2018-7536: возможность отказа в обслуживании в фильтрах шаблонов urlize и urlizetrnc.¶
Функция django.utils.html.urlize() очень медленно обрабатывала определенные входные данные из-за катастрофической уязвимости обратного отслеживания в регулярном выражении. Функция urlize() используется для реализации фильтров шаблонов urlize и urlizetrnc, которые, таким образом, были уязвимы.
Проблемное регулярное выражение заменяется логикой синтаксического анализа, которая ведет себя аналогичным образом.
CVE-2018-7537: возможность отказа в обслуживании в фильтрах шаблонов truncatechars_html и truncatewords_html.¶
Если методам chars() и words() объекта django.utils.text.Truncator был передан аргумент html=True, они очень медленно оценивали определенные входные данные из-за катастрофической уязвимости обратного отслеживания в регулярном выражении. Методы chars() иwords() используются для реализации фильтров шаблонов truncatechars_html и truncatewords_html, которые, таким образом, были уязвимы.
Исправлена проблема с возвратом в регулярном выражении.