Примечания к выпуску Django 1.5.4 ¶
14 сентября 2013 г.
Это Django 1.5.4, четвертый выпуск из серии Django 1.5. Он устраняет две проблемы безопасности и одну ошибку.
Отказ в обслуживании через хэшеры паролей ¶
В предыдущих версиях Django не было ограничений на длину открытого текста пароля. Это позволяло проводить атаку типа «отказ в обслуживании» путем отправки поддельных, но очень больших паролей, связывая ресурсы сервера, выполняя (дорогостоящий и все более дорогостоящий в зависимости от длины пароля) вычисление соответствующего хэша.
Начиная с версии 1.5.4, структура аутентификации Django накладывает ограничение на пароли в 4096 байт и не выполняет аутентификацию с любым отправленным паролем большей длины.
Исправлено использование sensitive_post_parameters()
в django.contrib.auth
админке ¶
Оформление представлений администратора add_view
и user_change_password
пользователя с помощью sensitive_post_parameters()
не включено method_decorator()
(требуется, поскольку представления являются методами), что приводит к неправильному применению декоратора. Это использование было исправлено и
sensitive_post_parameters()
теперь будет вызывать исключение, если оно используется неправильно.
Исправления ¶
- Исправлена ошибка, из-за
QuerySet
которой объект, который использует,prefetch_related()
не мариновался и не собирался более одного раза (вторая попытка травления вызвала исключение) (# 21102).