Примечания к выпуску Django 1.11.11¶
6 марта 2018 г.
В Django 1.11.11 исправлены две проблемы безопасности в версии 1.11.10.
CVE-2018-7536: возможность отказа в обслуживании в фильтрах шаблонов urlize и urlizetrnc.¶
Функция django.utils.html.urlize() чрезвычайно медленно оценивала определенные входные данные из-за катастрофических уязвимостей обратного отслеживания в двух регулярных выражениях. Функция urlize() используется для реализации фильтров шаблонов urlize и urlizetrnc, которые, таким образом, были уязвимы.
Проблемные регулярные выражения заменяются логикой синтаксического анализа, которая ведет себя аналогичным образом.
CVE-2018-7537: возможность отказа в обслуживании в фильтрах шаблонов truncatechars_html и truncatewords_html.¶
Если методам chars() и words() объекта django.utils.text.Truncator был передан аргумент html=True, они очень медленно оценивали определенные входные данные из-за катастрофической уязвимости обратного отслеживания в регулярном выражении. Методы chars() иwords() используются для реализации фильтров шаблонов truncatechars_html и truncatewords_html, которые, таким образом, были уязвимы.
Исправлена проблема с возвратом в регулярном выражении.