ASA-2019-00074 – Django: Exaustão de memória em utils.numberformat.format()


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00074

Identificador(es)

ASA-2019-00074, CVE-2019-6975

Título

Exaustão de memória em utils.numberformat.format()

Fabricante(s)

Django Software Foundation

Produto(s)

Django

Versão(ões) afetada(s)

Django 2.2 anterior commit 83ab3e26647f6a50cdfac01ecf735cad540b2f35
Django 2.1 anterior a versão 2.1.6
Django 2.0 anterior a versão 2.0.11
Django 1.11 anterior a versão 1.11.19

Versão(ões) corrigida(s)

Django 2.2 após commit 83ab3e26647f6a50cdfac01ecf735cad540b2f35
Django 2.1.6
Django 2.0.11
Django 1.11.19

Prova de conceito

Desconhecida

Descrição

Se django.utils.numberformat.format() – usado por contrib.admin, assim como os filtros floatformat, filesizeformat e intcomma – recebessem um Decimal com um grande número de dígitos ou um grande expoente, isso poderia levar a uso significativo de memória devido a uma chamada para ‘{:f}’.format().

Detalhes técnicos

Desconhecido

Créditos

Sjoerd Job Postmus

Referência(s)

CVE-2019-6975 — Django fixed memory exhaustion in utils.numberformat.format().
https://seclists.org/oss-sec/2019/q1/118

Django security releases issued: 2.1.6, 2.0.11 and 1.11.19
https://www.djangoproject.com/weblog/2019/feb/11/security-releases/

[2.2.x] Fixed CVE-2019-6975 — Fixed memory exhaustion in utils.numberformat.format().
https://github.com/django/django/commit/83ab3e26647f6a50cdfac01ecf735cad540b2f35

CVE-2019-6975
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6975

CVE-2019-6975
https://nvd.nist.gov/vuln/detail/CVE-2019-6975

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 3 junho 2019