Django 1.11.11 发行说明 — Django 文档

来自菜鸟教程
Django/docs/3.0.x/releases/1.11.11
跳转至:导航、​搜索

Django 1.11.11 发行说明

2018 年 3 月 6 日

Django 1.11.11 修复了 1.11.10 中的两个安全问题。

CVE-2018-7536:urlize 和 urlizetrunc 模板过滤器中的拒绝服务可能性

由于两个正则表达式中的灾难性回溯漏洞,django.utils.html.urlize() 函数在评估某些输入时极其缓慢。 urlize() 函数用于实现 urlizeurlizetrunc 模板过滤器,因此容易受到攻击。

有问题的正则表达式被替换为行为类似的解析逻辑。


CVE-2018-7537:truncatechars_html 和 truncatewords_html 模板过滤器中的拒绝服务可能性

如果 django.utils.text.Truncatorchars()words() 方法通过 html=True 参数,由于在正则表达式。 chars()words() 方法用于实现 truncatechars_htmltruncatewords_html 模板过滤器,因此容易受到攻击。

正则表达式中的回溯问题已修复。