ASA-2019-00074 – Django: Exaustão de memória em utils.numberformat.format()


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00074

Identificador(es)

ASA-2019-00074, CVE-2019-6975

Título

Exaustão de memória em utils.numberformat.format()

Fabricante(s)

Django Software Foundation

Produto(s)

Django

Versão(ões) afetada(s)

Django 2.2 anterior commit 83ab3e26647f6a50cdfac01ecf735cad540b2f35
Django 2.1 anterior a versão 2.1.6
Django 2.0 anterior a versão 2.0.11
Django 1.11 anterior a versão 1.11.19

Versão(ões) corrigida(s)

Django 2.2 após commit 83ab3e26647f6a50cdfac01ecf735cad540b2f35
Django 2.1.6
Django 2.0.11
Django 1.11.19

Prova de conceito

Desconhecida

Descrição

Se django.utils.numberformat.format() – usado por contrib.admin, assim como os filtros floatformat, filesizeformat e intcomma – recebessem um Decimal com um grande número de dígitos ou um grande expoente, isso poderia levar a uso significativo de memória devido a uma chamada para ‘{:f}’.format().

Detalhes técnicos

Desconhecido

Créditos

Sjoerd Job Postmus

Referência(s)

CVE-2019-6975 — Django fixed memory exhaustion in utils.numberformat.format().
https://seclists.org/oss-sec/2019/q1/118

Django security releases issued: 2.1.6, 2.0.11 and 1.11.19
https://www.djangoproject.com/weblog/2019/feb/11/security-releases/

[2.2.x] Fixed CVE-2019-6975 — Fixed memory exhaustion in utils.numberformat.format().
https://github.com/django/django/commit/83ab3e26647f6a50cdfac01ecf735cad540b2f35

CVE-2019-6975
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6975

CVE-2019-6975
https://nvd.nist.gov/vuln/detail/CVE-2019-6975

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 3 junho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.