Примечания к выпуску Django 2.1.2

1 октября 2018 г.

Django 2.1.2 исправляет проблему безопасности и несколько ошибок в 2.1.1. Также включены последние переводы строк от Transifex.

CVE-2018-16984: раскрытие хэша пароля для пользователей с правами администратора «только для просмотра»

Если пользователь-администратор имеет разрешение на изменение модели пользователя, в форме изменения отображается только часть хэша пароля. Пользователи с правами администратора с разрешением на просмотр (но не на изменение) модели пользователя отображали весь хэш. Хотя обычно невозможно отменить надежный хэш пароля, если на вашем сайте используются более слабые алгоритмы хеширования паролей, такие как MD5 или SHA1, это может стать проблемой.

Исправления

  • Исправлена ​​регрессия, при которой несуществующие соединения F()больше не возникали FieldError( # 29727 ).
  • Исправлена ​​регрессия, при которой файлы, начинающиеся с тильды или подчеркивания, не игнорировались загрузчиком миграции ( # 29749 ).
  • Сделаны миграции для обнаружения изменений в Meta.default_related_name ( # 29755 ).
  • Добавлена ​​совместимость для cx_Oracle7 ( # 29759 ).
  • Исправлена ​​регрессия в Django 2.0, когда уникальные имена индексов не заключались в кавычки ( # 29778 ).
  • Исправлена ​​регрессия, из-за которой нарезанные запросы с несколькими столбцами с одинаковыми именами аварийно завершались в Oracle 12.1 ( # 29630 ).
  • Исправлен сбой, когда пользователь с разрешением на просмотр (но не на изменение) отправлял POST-запрос в форму изменения пользователя с правами администратора ( # 29809 ).

Copyright ©2021 All rights reserved