Debian dla-4324：python-django-doc - 安全性更新

critical Nessus Plugin ID 269725

語言:

概要

遠端 Debian 主機上缺少一個或多個安全性更新。

說明

遠端 Debian 11 主機上安裝的多個套件受到 dla-4324 公告中提及的多個弱點影響。

- ------------------------------------------------- ------------------------------------ Debian LTS 公告 DLA-4324-1 [email protected] https://www.debian.org/lts/security/Chris Lamb 2025 年 10 月 7 日https://wiki.debian.org/LTS
- -------------------------------------------------------------------------

套件：python-django 版本：2:2.2.28-1~deb11u9 CVE IDs : CVE-2025-59681 CVE-2025-59682 Debian Bug : 1116979

在熱門 Django web 開發架構中發現兩個弱點：

* CVE-2025-59681：修復 QuerySet.annotate()、aggregate() 和 extra() 中潛在的 SQL 插入弱點。這些方法會在欄別名中遭受 SQL 插入，並透過字典擴充使用適當特製的字典作為
**kwargs 已傳遞至 MySQL 和 MariaDB 上的這些方法。

* CVE-2025-59682：修正 archive.extract() 中可能存在的部分目錄遊走弱點。startapp --template 和 startproject --template 所使用的此函式允許透過具有與目標目錄共用共用前置詞之檔案路徑的封存，進行部分目錄遊走。

針對 Debian 11 Bullseye，這些問題已在 2:2.2.28-1~deb11u9 版本中修正。

建議您升級 python-django 套件。

如需有關 python-django 安全性狀態的詳細資訊，請參閱其安全追蹤頁面：
https://security-tracker.debian.org/tracker/python-django

有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊，請參閱：https://wiki.debian.org/LTS

Tenable 已直接從 Debian 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。