Примечания к выпуску Django 1.7.10

18 августа 2015 г.

Django 1.7.10 устраняет проблему безопасности в версии 1.7.9.

Возможность отказа в обслуживании logout()при заполнении хранилища сессий

Раньше сеанс можно было создать при анонимном доступе к django.contrib.auth.views.logout()представлению (при условии, что оно не было оформлено так, login_required()как это сделано в админке). Это может позволить злоумышленнику легко создавать множество новых записей сеанса, отправляя повторяющиеся запросы, потенциально заполняя хранилище сеансов или вызывая выселение записей сеансов других пользователей.

SessionMiddlewareБыл изменен , чтобы больше не создавать пустые сессии записи, в том числе , когда SESSION_SAVE_EVERY_REQUESTактивен.

Кроме того, contrib.sessions.backends.base.SessionBase.flush()и cache_db.SessionStore.flush()методы были изменены , чтобы избежать создания новой пустой сессии. Сопровождающие сторонние серверные части сеанса должны проверить, присутствует ли такая же уязвимость в их серверной части, и исправить ее, если это так.

Copyright ©2021 All rights reserved