Django 1.8.19 release notes

6 mars 2018

Django 1.8.19 åtgärdar två säkerhetsproblem i 1.18.18.

CVE-2018-7536: Denial-of-service-möjlighet i mallfiltren urlize och urlizetrunc

Funktionen django.utils.html.urlize() var extremt långsam när den utvärderade vissa indata på grund av en katastrofal backtracking-sårbarhet i ett reguljärt uttryck. Funktionen urlize() används för att implementera mallfiltren urlize och urlizetrunc, som därmed var sårbara.

Det problematiska reguljära uttrycket ersätts med parsinglogik som beter sig på liknande sätt.

CVE-2018-7537: Denial-of-service-möjlighet i mallfiltren truncatechars_html och truncatewords_html

Om django.utils.text.Truncator’s chars() och words() metoder fick argumentet html=True, var de extremt långsamma att utvärdera vissa indata på grund av en katastrofal backtracking-sårbarhet i ett reguljärt uttryck. Metoderna chars() och words() används för att implementera mallfiltren truncatechars_html och truncatewords_html, som därmed var sårbara.

Backtracking-problemet i det reguljära uttrycket är åtgärdat.