Django 1.7.9 版本发行说明

2015 年 7 月 8 日

Django 1.7.9 修复了 1.7.8 版本中的多个安全问题和错误。

通过填充会话存储可能导致拒绝服务攻击。

在以前版本的 Django 中,会话后端在访问 request.session 时,如果请求的 cookies 中提供了一个没有会话记录的会话键,就会创建一个新的空记录在会话存储中。这可能允许攻击者通过发送带有未知会话键的重复请求来轻松创建许多新的会话记录,潜在地填满会话存储或导致其他用户的会话记录被逐出。

内置的会话后端现在仅在会话实际修改时创建会话记录;不会创建空的会话记录。因此,只有在网站选择向匿名用户公开会话修改视图时,才可能发生这种潜在的 DoS 攻击。

由于每个内置会话后端都是单独修复的(而不是在核心会话框架中进行修复),第三方会话后端的维护者应检查他们的后端是否存在相同的漏洞,并在存在的情况下进行修正。

由于验证器接受换行符输入,可能导致头部注入。

Django 的一些内置验证器(尤其是 EmailValidator)没有禁止换行字符(因为正则表达式中使用了 $ 而不是 \Z)。如果在 HTTP 响应或电子邮件头中使用带有换行符的值,可能会受到头部注入攻击的影响。Django 本身不会受到影响,因为 HttpResponsedjango.core.mail 中的邮件发送工具在 HTTP 和 SMTP 头部中分别禁止了换行符。尽管验证器已经在 Django 中修复,但如果以其他方式创建 HTTP 响应或电子邮件消息,最好确保这些方法也禁止换行符。您还可以验证应用程序中的任何现有数据是否包含意外的换行符。

validate_ipv4_address()validate_slug()URLValidator 也受到影响,但从 Django 1.6 开始,使用这些验证器的 GenericIPAddresseFieldIPAddressFieldSlugFieldURLField 表单字段都会剥离输入,因此只有在在表单字段之外使用这些验证器时才存在新行进入数据的可能性。

未记录的、内部未使用的 validate_integer() 函数现在更加严格,因为它使用正则表达式进行验证,而不仅仅是使用 int() 强制转换值并检查是否引发了异常。

漏洞修复

  • 在重命名 MySQL 数据库字段时防止了丢失 null/not null 列属性(#24817)。
  • 修复了在 Python 2.7.10 上的 SimpleTestCase.assertRaisesMessage()#24903)。