728x90
장고 보안 릴리스 발행소식이다.
이번 보안 릴리스는 Django 5.1.1 , Django 5.0.9 , Django 4.2.16 에 대해 릴리스를 발행하고 있다.
본인의 장고 버전을 확인해서 업그레이드를 권장한다.
아래는 보안 취약점에 대한 내용이다.
- CVE-2024-45230: django.utils.html.urlize() 의 잠재적 서비스 거부 취약성
. urlize 및 urlizetrunc는 특정 문자 시퀀스를 포함하는 매우 큰 입력을 통해 잠재적으로 서비스
거부 공격을 받을 수 있습니다.
. 심각도 : 보통
- CVE-2024-45231: 비밀번호 재설정 시 응답 상태를 통한 잠재적인 사용자 이메일 열거
. 처리되지 않은 이메일 전송 실패로 인해 django.contrib.auth.forms.PasswordResetForm 클래스는 원격 공격자가 비밀번호 재설정 요청을 발행하고 결과를 관찰하여 사용자 이메일을 열거할 수 있도록 허용
. 이러한 위험을 완화하기 위해 비밀번호 재설정 이메일을 보내는 동안 발생하는 예외는 이제 django.contrib.auth 로거를 사용하여 처리되고 기록
. 심각도 : 낮음
https://www.djangoproject.com/weblog/2024/sep/03/security-releases/
반응형
'Django' 카테고리의 다른 글
사용자 아이피, agent 가져오기 (0) | 2024.10.16 |
---|---|
등록된 아이피만 사이트에 접속허용 - whitelist (0) | 2024.10.15 |
한글 로그문제 해결 - django (0) | 2024.07.31 |
문자열 이스케이프 함수 - django (0) | 2024.07.30 |
settings.py 에 선언한 값 가져오기 - django (0) | 2024.07.23 |