Примечания к выпуску Django 2.2.16 ¶

CVE-2020-24583: неправильные разрешения для каталогов промежуточного уровня в Python 3.7+ ¶

В Python 3.7+ FILE_UPLOAD_DIRECTORY_PERMISSIONSрежим не применялся к каталогам промежуточного уровня, созданным в процессе загрузки файлов, и к собранным статическим каталогам промежуточного уровня при использовании команды collectstaticуправления.

Вам следует проверить и вручную исправить разрешения для существующих каталогов промежуточного уровня.

CVE-2020-24584: повышение разрешений в каталогах промежуточного уровня кэша файловой системы в Python 3.7+ ¶

В Python 3.7+ каталоги промежуточного уровня кеша файловой системы имели стандартную системную маску umask, а не 0o077(без прав группы или других прав).

Исправления ¶

• Исправлена ​​возможность потери данных в select_for_update(). При использовании связанных полей, указывающих на прокси-модель в ofаргументе, соответствующая модель не была заблокирована ( # 31866 ).
• Исправлена ​​возможность потери данных после регрессии в Django 2.0 при копировании экземпляров модели со значением кэшированных полей ( # 31863 ).