Уязвимость CVE-2019-14232: Информация

Описание

An issue was discovered in Django 1.11.x before 1.11.23, 2.1.x before 2.1.11, and 2.2.x before 2.2.4. If django.utils.text.Truncator's chars() and words() methods were passed the html=True argument, they were extremely slow to evaluate certain inputs due to a catastrophic backtracking vulnerability in a regular expression. The chars() and words() methods are used to implement the truncatechars_html and truncatewords_html template filters, which were thus vulnerable.

Важность: HIGH (7,5) Вектор: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

URL: https://nvd.nist.gov/vuln/detail/CVE-2019-14232
Опубликовано: 2 августа 2019 г.
Изменено: 7 ноября 2023 г.
Идентификатор типа ошибки: CWE-400

Исправленные пакеты

Имя пакета
Ветка
Исправлено в версии
Версия в репозитории
Errata ID
№ Задания
Состояние
python-module-djangop91.11.23-alt11.11.29-alt2ALT-PU-2019-2367-1235518Исправлено
python-module-djangoc9f21.11.23-alt11.11.23-alt1ALT-PU-2019-2367-1235518Исправлено

Ссылки на рекомендации, решения и инструменты

Ссылка
Ресурс
https://www.djangoproject.com/weblog/2019/aug/01/security-releases/
  • Vendor Advisory
https://docs.djangoproject.com/en/dev/releases/security/
  • Patch
  • Vendor Advisory
openSUSE-SU-2019:1839
  • Third Party Advisory
20190812 [SECURITY] [DSA 4498-1] python-django security update
    DSA-4498
      openSUSE-SU-2019:1872
        https://security.netapp.com/advisory/ntap-20190828-0002/
          GLSA-202004-17
            [oss-security] 20231004 Django: CVE-2023-43665: Denial-of-service possibility in django.utils.text.Truncator
              https://groups.google.com/forum/#%21topic/django-announce/jIoju2-KLDs
                FEDORA-2019-647f74ce51

                    1. Конфигурация 1

                      cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:*
                      Start including
                      2.2
                      End excliding
                      2.2.4
                      cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:*
                      Start including
                      2.1
                      End excliding
                      2.1.11
                      cpe:2.3:a:djangoproject:django:*:*:*:*:*:*:*:*
                      Start including
                      1.11
                      End excliding
                      1.11.23

                      Конфигурация 2

                      cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:*
                  VKontakte|Telegram|YouTube|Forum|GitHub|Bugzilla
                  Версия: v24.4.2
                  Наверх