Django团队今天发布了Django 1.3.4和1.4.2两个安全修复版本,修复了之前版本中包含的一些严重安全漏洞,建议所用Django用户立即升级。 1. Host header 解析漏洞 在Django 1.3和1.4中,特别是django.http.HttpRequest.get_host()中,用户名/密码信息被错误地处理,导致一些Django部件(特别是密码重设机制)向用户生成并显示任意的URL。 新版本中修改了HttpRequest.get_host()中的解析功能,如果Host头中包含潜在危险的内容(如成对的用户名/密码)时,将抛出异常。 2. HttpOnly cookie文档问题 Django 1.4中,会话cookies会和HttpOnly标志一起被发送,可以拒绝客户端脚本访问session cookie,这样可以防止一些XSS攻击。 尽管不会直接导致安全问题,但有报告称,Django 1.4文档错误地描述了这些内容,并声称现在默认通过HttpResponse.set_cookie()方法设置所有cookies。Django文档已经更新,并说明这仅适用于会话cookie。 受影响的版本
详细信息:Django Weblog 下载地址:
评论删除后,数据将无法恢复
Django 1.3.4 和 1.4.2 发布,安全修复版本
Django团队今天发布了Django 1.3.4和1.4.2两个安全修复版本,修复了之前版本中包含的一些严重安全漏洞,建议所用Django用户立即升级。
1. Host header 解析漏洞
在Django 1.3和1.4中,特别是django.http.HttpRequest.get_host()中,用户名/密码信息被错误地处理,导致一些Django部件(特别是密码重设机制)向用户生成并显示任意的URL。
新版本中修改了HttpRequest.get_host()中的解析功能,如果Host头中包含潜在危险的内容(如成对的用户名/密码)时,将抛出异常。
2. HttpOnly cookie文档问题
Django 1.4中,会话cookies会和HttpOnly标志一起被发送,可以拒绝客户端脚本访问session cookie,这样可以防止一些XSS攻击。
尽管不会直接导致安全问题,但有报告称,Django 1.4文档错误地描述了这些内容,并声称现在默认通过HttpResponse.set_cookie()方法设置所有cookies。Django文档已经更新,并说明这仅适用于会话cookie。
受影响的版本
详细信息:Django Weblog
下载地址: