Rilasciate patch di sicurezza di Django versioni: 4.1.6, 4.0.9 e 3.2.17

Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 2 Febbraio 2023
Tags: #django, #sicurezza

Rilasci di sicurezza di Django: 4.1.6, 4.0.9 e 3.2.17

In conformità con la nostra politica di rilascio di sicurezza, il team di Django sta rilasciando

Django 4.1.6, Django 4.0.9 e Django 3.2.17.

Queste versioni risolvono il problema di sicurezza descritto di seguito. Incoraggiamo tutti gli utenti di Django ad aggiornare il prima possibile.

CVE-2023-23969: Potenziale negazione del servizio tramite intestazioni Accept-Language

I valori analizzati delle intestazioni Accept-Language vengono memorizzati nella cache per evitare analisi ripetitive. Ciò porta a un potenziale vettore di negazione del servizio tramite un utilizzo eccessivo della memoria se vengono inviati valori di intestazione di grandi dimensioni.

Per evitare questa vulnerabilità, l'intestazione Accept-Language viene ora analizzata fino a una lunghezza massima.

Questo problema ha una gravità "moderata" secondo la politica di sicurezza di Django.

Versioni supportate interessate

Ramo principale di Django

Django 4.2 (attualmente allo stato alfa pre-rilascio)

Django 4.1

Django 4.0

Django 3.2

Risoluzione

Le patch per risolvere il problema sono state applicate al ramo principale di Django e ai rami di rilascio 4.2, 4.1, 4.0 e 3.2. Le patch possono essere ottenute dai seguenti changeset:

Sul ramo principale

Sul ramo di rilascio 4.2

Sul ramo di rilascio 4.1

Sul ramo di rilascio 4.0

Sul ramo di rilascio 3.2

Sono state emesse le seguenti liberatorie:

Django 4.1.6 (scarica Django 4.1.6 | 4.1.6 checksum)

Django 4.0.9 (scarica Django 4.0.9 | checksum 4.0.9)

Django 3.2.17 (scarica Django 3.2.17 | checksum 3.2.17)

https://www.djangoproject.com/weblog/2023/feb/01/security-releases/