Примечания к выпуску Django 3.0.10 ¶
1 сентября 2020 г.
Django 3.0.10 исправляет две проблемы безопасности и две ошибки потери данных в 3.0.9.
CVE-2020-24583: неправильные разрешения для каталогов промежуточного уровня в Python 3.7+ ¶
В Python 3.7+ FILE_UPLOAD_DIRECTORY_PERMISSIONS
режим не применялся к каталогам промежуточного уровня, созданным в процессе загрузки файлов, и к собранным статическим каталогам промежуточного уровня при использовании команды
collectstatic
управления.
Вам следует проверить и вручную исправить разрешения для существующих каталогов промежуточного уровня.
CVE-2020-24584: повышение разрешений в каталогах промежуточного уровня кэша файловой системы в Python 3.7+ ¶
В Python 3.7+ каталоги промежуточного уровня кэша файловой системы имели стандартную системную маску umask, а не 0o077
(без прав группы или других прав).
Исправления ¶
- Исправлена возможность потери данных в
select_for_update()
. При использовании связанных полей, указывающих на прокси-модель вof
аргументе, соответствующая модель не была заблокирована ( # 31866 ). - Исправлена возможность потери данных после регрессии в Django 2.0 при копировании экземпляров модели со значением кэшированных полей ( # 31863 ).