Django - новый релиз!
Библиотека форм Django включает типы полей, при которых производится проверка с помощью регулярных выражений адресов электронной почты и URL-адресов. Определённые адреса почты/URL могут вызывать неправильное поведение регулярного выражения, в результате процесс/поток сервера не отвечает, и длительное времяя вызывается чрезмерная нагрузка на процессор. При целенаправленном вызове это может стать успешной DoS-атакой (отказ в обслуживании).
Версии Django, к которым применяется патч
Уязвимости подвержены любые Django-приложения, использующие EmailField или URLField в следующих версиях:
- Django development trunk
- Django 1.1
- Django 1.0
Решение
Надо внести изменения в регулярные выражения, использующиеся для проверки правильности ввода адреса почты/URL.
Патчи описаны в следующих наборах изменений:
Следующие релизы доступны:
- Django 1.1.1 (загрузка | контрольные суммы)
- Django 1.0.4 (загрузка | контрольные суммы)
Релизы доступны как на странице загрузки, так и на PyPI.
вопрос
специалисту