Au cours des dernières semaines, Django a été au centre de deux annonces majeures. Tout d’abord, des correctifs de sécurité cruciaux ont été publiés pour les versions 4.2.7, 4.1.13 et 3.2.23, visant à résoudre une vulnérabilité potentielle. Parallèlement, Django 5.0 se profile avec la sortie du premier candidat à la version finale, offrant un avant-goût des nouvelles fonctionnalités à venir.
L’équipe Django a publié les versions 4.2.7, 4.1.13 et 3.2.23 de Django. Ces mises à jour traitent les problèmes de sécurité détaillés ci-dessous.
CVE-2023-46695 : Vulnérabilité potentielle de déni de service dans UsernameField sous Windows
La normalisation NFKC est lente sous Windows. Par conséquent, django.contrib.auth.forms.UsernameField était vulnérable à une attaque potentielle de déni de service via certaines saisies comportant un très grand nombre de caractères Unicode.
Pour prévenir cette vulnérabilité, les valeurs invalides dont la longueur dépasse UsernameField.max_length ne sont plus normalisées, car elles ne peuvent de toute façon pas passer la validation.
La gravité de ce problème est qualifiée de « modérée » selon la politique de sécurité de Django.
Voici la liste des versions de Django pour lesquelles le bogue a été résolu :
- Django 5.0 (actuellement en version bêta)
- Django 4.2
- Django 4.1
- Django 3.2
- Publication du premier candidat à la version finale
Le premier candidat à la version finale de Django 5.0 vient d’être dévoilé, offrant une opportunité exclusive de découvrir en avant-première les fonctionnalités excitantes avant la sortie officielle de Django 5.0.
À ce stade crucial du candidat à la version finale, les chaînes de caractères ont été figées, marquant le début de la préparation pour la version finale.
Un appel est lancé aux traducteurs pour soumettre leurs traductions, renforçant ainsi l’engagement de Django envers une expérience multilingue.
De ce fait, à moins de rencontrer des bugs majeurs nécessitant une résolution urgente au cours des deux prochaines semaines, la date fixée pour la sortie officielle de Django 5.0 est le 4 décembre.