Примечания к выпуску Django 3.0.7 ¶
3 июня 2020 г.
Django 3.0.7 исправляет две проблемы безопасности и несколько ошибок в 3.0.6.
CVE-2020-13254: потенциальная утечка данных через неверно сформированные ключи memcached ¶
В случаях, когда серверная часть memcached не выполняет проверку ключей, передача неверно сформированных ключей кэша может привести к конфликту ключей и потенциальной утечке данных. Чтобы избежать этой уязвимости, к бэкэндам кеш-памяти memcached добавлена проверка ключей.
CVE-2020-13596: возможен XSS через администратора ForeignKeyRawIdWidget
¶
Параметры запроса для администратора ForeignKeyRawIdWidget
не были правильно закодированы в URL-адресе, что создавало вектор атаки XSS. ForeignKeyRawIdWidget
теперь гарантирует, что параметры запроса правильно закодированы в URL.
Исправления ¶
- Исправлена регрессия в Django 3.0 путем восстановления возможности использования поиска по полям в
Meta.ordering
( # 31538 ). - Исправлена регрессия в Django 3.0, когда
QuerySet.values()
и происходилvalues_list()
сбой, если набор запросов содержал агрегацию и аннотацию подзапроса ( # 31566 ). - Исправлена регрессия в Django 3.0, когда агрегаты использовали неправильные аннотации, когда в наборе запросов было несколько аннотаций подзапросов ( # 31568 ).
- Исправлена регрессия в Django 3.0, когда
QuerySet.values()
и происходилvalues_list()
сбой, если набор запросов содержал агрегацию иExists()
аннотацию в Oracle ( # 31584 ). - Исправлена регрессия в Django 3.0, когда все разрешенные
Subquery()
выражения считались равными ( # 31607 ). - Исправлена регрессия в Django 3.0.5, которая повлияла на загрузку переводов для приложений, предоставляющих переводы для территориальных языковых вариантов, а также для общего языка, где в проекте используются разные уравнения множественного числа для языка ( # 31570 ).
- Отслеживая выпуск безопасности jQuery, обновил версию jQuery, используемую администратором, с 3.4.1 до 3.5.1.