본문 바로가기
Django

Django 보안 릴리스 발행소식 - 5.1.1, 5.0.9, 및 4.2.16

by zgabriel 2024. 9. 5.
728x90

장고 보안 릴리스 발행소식이다. 

 

이번 보안 릴리스는 Django 5.1.1 , Django 5.0.9 , Django 4.2.16 에 대해 릴리스를 발행하고 있다.

 

본인의 장고 버전을 확인해서 업그레이드를 권장한다. 

 

아래는 보안 취약점에 대한 내용이다. 


- CVE-2024-45230: django.utils.html.urlize() 의 잠재적 서비스 거부 취약성


 . urlize 및 urlizetrunc는 특정 문자 시퀀스를 포함하는 매우 큰 입력을 통해 잠재적으로 서비스 

거부 공격을 받을 수 있습니다.


 . 심각도 : 보통

 

- CVE-2024-45231: 비밀번호 재설정 시 응답 상태를 통한 잠재적인 사용자 이메일 열거

 

 . 처리되지 않은 이메일 전송 실패로 인해 django.contrib.auth.forms.PasswordResetForm 클래스는 원격 공격자가 비밀번호 재설정 요청을 발행하고 결과를 관찰하여 사용자 이메일을 열거할 수 있도록 허용

 

 . 이러한 위험을 완화하기 위해 비밀번호 재설정 이메일을 보내는 동안 발생하는 예외는 이제 django.contrib.auth 로거를 사용하여 처리되고 기록

 

 . 심각도 : 낮음

 

 

https://www.djangoproject.com/weblog/2024/sep/03/security-releases/

 

Django security releases issued: 5.1.1, 5.0.9, and 4.2.16

Posted by Natalia Bidart on 9월 3, 2024

www.djangoproject.com

 

 

 

반응형