Django 4.0.9发行说明

February 1, 2023

Django 4.0.9修复了4.0.8中严重程度为“中等”的安全问题。

CVE-2023-23969:潜在的拒绝服务通过 Accept-Language 标题

的解析值 Accept-Language 报头被缓存,以避免重复解析。如果发送较大的标头值,这会通过过度使用内存来导致潜在的拒绝服务向量。

为了避免此漏洞, Accept-Language 报头现在被解析到最大长度。

« previous | up | next »