django安全更新

日Django发布了1.1.1,主要是为了修正一个安全漏洞。

在Django的form中,有一些field使用了正则表达式来验证有效性,比如EmailField和URLField。但是这个正则表达式存在缺陷,会在特定输入下出现服务器端失去响应并耗费大量CPU资源的情况,所以可以被用作恶意攻击服务器的手段。

解决办法有两种,如果你正在使用1.0版、1.1版、或者是SVN版,可以按照下面几个变更集打补丁:

  • Django development trunk: 11603.
  • Django 1.1 release series: 11604.
  • Django 1.0 release series: 11605.

如果你没有对1.1或1.0做过hack,则推荐你更新版本至新发布的1.1.1(download | checksums)和1.0.4(download | checksums)。