Примечания к выпуску Django 1.7.10 ¶
18 августа 2015 г.
Django 1.7.10 устраняет проблему безопасности в версии 1.7.9.
Возможность отказа в обслуживании logout()
при заполнении хранилища сессий ¶
Раньше сеанс можно было создать при анонимном доступе к
django.contrib.auth.views.logout()
представлению (при условии, что оно не было оформлено так, login_required()
как это сделано в админке). Это может позволить злоумышленнику легко создавать множество новых записей сеанса, отправляя повторяющиеся запросы, потенциально заполняя хранилище сеансов или вызывая выселение записей сеансов других пользователей.
SessionMiddleware
Был изменен , чтобы больше не создавать пустые сессии записи, в том числе , когда
SESSION_SAVE_EVERY_REQUEST
активен.
Кроме того, contrib.sessions.backends.base.SessionBase.flush()
и
cache_db.SessionStore.flush()
методы были изменены , чтобы избежать создания новой пустой сессии. Сопровождающие сторонние серверные части сеанса должны проверить, присутствует ли такая же уязвимость в их серверной части, и исправить ее, если это так.