Ce mois ci et le mois dernier, un ensemble de correctifs pour Django, 3 , 4 et 5 sont sortis. adresse plusieurs problèmes qui ont été identifiés depuis la sortie de la version précédente. Ces correctifs visent à résoudre des problèmes tels que les attaques par déni de service et d’autres problèmes suite à la découverte de vulnérabilités potentielles touchant des fonctionnalités clés telles que les filtres de modèle et les méthodes de troncature.
Le 6 février 2024, l’équipe de Django a publié des mises à jour de sécurité. Les versions 5.0.2, 4.2.10 et 3.2.24 de Django ont été émises pour remédier à une vulnérabilité de sécurité décrite ci-dessous.
- Problème de sécurité : CVE-2024-24680
Le filtre de modèle intcomma dans Django était vulnérable à une attaque potentielle par déni de service (DoS) lors du traitement de chaînes très longues.
Selon la politique de sécurité de Django, ce problème est classé comme « modéré » en gravité.
Versions affectées La vulnérabilité affecte les versions prises en charge suivantes :
- Branche principale de Django
- Django 5.0
- Django 4.2
- Django 3.2
Résolution Des correctifs visant à résoudre le problème ont été implémentés dans la branche principale de Django ainsi que dans les branches stables 5.0, 4.2 et 3.2. Ces correctifs sont accessibles via les ensembles de modifications suivants :
- Branche principale
- Branche de publication 5.0
- Branche de publication 4.2
- Branche de publication 3.2
Mises à jour publiées Les mises à jour suivantes sont désormais disponibles :
- Django 5.0.2
- Django 4.2.10
- Django 3.2.24
- MISE À JOUR DE SÉCURITÉ DE DJANGO : 5.0.3, 4.2.11 et 3.2.25
Le 4 mars 2024, l’équipe de Django a émis des mises à jour pour les versions 5.0.3, 4.2.11 et 3.2.25 afin de remédier à une vulnérabilité de sécurité comme décrit ci-dessous.
- Problème de sécurité : CVE-2024-27351
La méthode django.utils.text.Truncator.words() ainsi que le filtre de modèle truncatewords_html dans Django étaient vulnérables à une attaque potentielle par déni de service (DoS) par expression régulière lors du traitement de chaînes spécialement conçues. Cette vulnérabilité fait suite aux problèmes CVE-2019-14232 et CVE-2023-43665.
Selon la politique de sécurité de Django, cette vulnérabilité est classée comme « modérée » en gravité.
Versions affectées La vulnérabilité affecte les versions prises en charge suivantes :
- Django 5.0
- Django 4.2
- Django 3.2
Résolution L’équipe de Django a appliqué des correctifs aux branches de publication 5.0, 4.2 et 3.2 pour rectifier le problème. Ces correctifs sont accessibles via les ensembles de modifications suivants :
- Branche de publication 5.0
- Branche de publication 4.2
- Branche de publication 3.2
Mises à jour publiées Les mises à jour suivantes sont désormais disponibles :
- Django 5.0.3
- Django 4.2.11
- Django 3.2.25
