Примечания к выпуску Django 2.1.5

4 января 2019 г.,

Django 2.1.5 исправляет проблему безопасности и несколько ошибок в 2.1.4.

CVE-2019-3498: возможность подмены контента на странице 404 по умолчанию

Злоумышленник может создать вредоносный URL-адрес, который может заставить поддельное содержимое отображаться на странице по умолчанию, созданной django.views.defaults.page_not_found() представлением.

Путь URL-адреса больше не отображается в шаблоне 404 по умолчанию, а request_pathпеременная контекста теперь цитируется, чтобы устранить проблему для настраиваемых шаблонов, использующих этот путь.

Исправления

  • Исправлена ​​совместимость с mysqlclient 1.3.14 ( # 30013 ).
  • Исправлена ​​проблема повреждения схемы в SQLite 3.26+. Возможно, вам придется удалить и перестроить базу данных SQLite, если вы применили миграцию при использовании более старой версии Django с SQLite 3.26 или новее ( # 29182 ).
  • Предотвращено изменение схемы SQLite при включенной проверке внешнего ключа, чтобы избежать возможности повреждения схемы ( # 30023 ).
  • Исправлена ​​регрессия в Django 2.1.4 (которая включила поддерживающие соединения), когда данные тела запроса не использовались должным образом для таких соединений ( # 30015 ).
  • Исправлена ​​регрессия в Django 2.1.4, когда InlineModelAdmin.has_change_permission()некорректно вызывается без None objаргумента во время добавления объекта ( # 30050 ).

Copyright ©2021 All rights reserved