ASA-2019-00074 – Django: Exaustão de memória em utils.numberformat.format()


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00074

Identificador(es)

ASA-2019-00074, CVE-2019-6975

Título

Exaustão de memória em utils.numberformat.format()

Fabricante(s)

Django Software Foundation

Produto(s)

Django

Versão(ões) afetada(s)

Django 2.2
Django 2.1
Django 2.0
Django 1.11

Versão(ões) corrigida(s)

Django 2.1.6
Django 2.0.11
Django 1.11.19

Prova de conceito

Desconhecida

Descrição

Se django.utils.numberformat.format() – usado por contrib.admin, assim como os filtros floatformat, filesizeformat e intcomma – recebessem um Decimal com um grande número de dígitos ou um grande expoente, isso poderia levar a uso significativo de memória devido a uma chamada para ‘{:f}’.format().

Detalhes técnicos

Desconhecido

Créditos

Sjoerd Job Postmus

Referência(s)

CVE-2019-6975 — Django fixed memory exhaustion in utils.numberformat.format().
https://seclists.org/oss-sec/2019/q1/118

Django security releases issued: 2.1.6, 2.0.11 and 1.11.19
https://www.djangoproject.com/weblog/2019/feb/11/security-releases/

CVE-2019-6975
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6975

CVE-2019-6975
https://nvd.nist.gov/vuln/detail/CVE-2019-6975

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 12 fevereiro 2019