Rilasciate patch di sicurezza di Django versioni: 4.1.6, 4.0.9 e 3.2.17

Vai ai contenuti

Rilasciate patch di sicurezza di Django versioni: 4.1.6, 4.0.9 e 3.2.17

3D.A. CLOUD Internet Provider FIBRA FTTH VDSL VoIP Kaspersky Antivirus WatchGuard Antivirus SPID PEC Firma_Digitale Certificati SSL Brescia Concesio
Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 2 Febbraio 2023
Tags: #django#sicurezza
Rilasci di sicurezza di Django: 4.1.6, 4.0.9 e 3.2.17



In conformità con la nostra politica di rilascio di sicurezza, il team di Django sta rilasciando
Django 4.1.6, Django 4.0.9 e Django 3.2.17.

Queste versioni risolvono il problema di sicurezza descritto di seguito. Incoraggiamo tutti gli utenti di Django ad aggiornare il prima possibile.
CVE-2023-23969: Potenziale negazione del servizio tramite intestazioni Accept-Language

I valori analizzati delle intestazioni Accept-Language vengono memorizzati nella cache per evitare analisi ripetitive. Ciò porta a un potenziale vettore di negazione del servizio tramite un utilizzo eccessivo della memoria se vengono inviati valori di intestazione di grandi dimensioni.

Per evitare questa vulnerabilità, l'intestazione Accept-Language viene ora analizzata fino a una lunghezza massima.

Questo problema ha una gravità "moderata" secondo la politica di sicurezza di Django.

Versioni supportate interessate

    Ramo principale di Django
    Django 4.2 (attualmente allo stato alfa pre-rilascio)
    Django 4.1
    Django 4.0
    Django 3.2

Risoluzione
Le patch per risolvere il problema sono state applicate al ramo principale di Django e ai rami di rilascio 4.2, 4.1, 4.0 e 3.2. Le patch possono essere ottenute dai seguenti changeset:

    Sul ramo principale
    Sul ramo di rilascio 4.2
    Sul ramo di rilascio 4.1
    Sul ramo di rilascio 4.0
    Sul ramo di rilascio 3.2

Sono state emesse le seguenti liberatorie:

    Django 4.1.6 (scarica Django 4.1.6 | 4.1.6 checksum)
    Django 4.0.9 (scarica Django 4.0.9 | checksum 4.0.9)
    Django 3.2.17 (scarica Django 3.2.17 | checksum 3.2.17)




3D.A.
Un Solo Fornitore
3D.A. di Domeneghini Angelo - Via G. Zanardelli, 80/82 - cap. 25062 Concesio (Bs) - Tel +39 030 2008860 -
Fax 030 20 60 925 - P.I: 03307780175
Torna ai contenuti