Примечания к выпуску Django 1.4.22

18 августа 2015 г.

Django 1.4.22 устраняет проблему безопасности в 1.4.21.

Он также исправляет поддержку с помощью pip 7+, отключив поддержку колеса. Более старые версии 1.4 автоматически ломали колесо при установке с этими версиями pip.

Возможность отказа в обслуживании logout() при заполнении хранилища сессий

Раньше сеанс можно было создать при анонимном доступе к django.contrib.auth.views.logout() представлению (при условии, что оно не было оформлено так, login_required() как это сделано в админке). Это может позволить злоумышленнику легко создавать множество новых записей сеанса, отправляя повторяющиеся запросы, потенциально заполняя хранилище сеансов или вызывая выселение записей сеансов других пользователей.

SessionMiddleware Был изменен , чтобы больше не создавать пустые сессии записи, в том числе , когда SESSION_SAVE_EVERY_REQUEST активен.

Кроме того, contrib.sessions.backends.base.SessionBase.flush() и cache_db.SessionStore.flush() методы были изменены , чтобы избежать создания новой пустой сессии. Сопровождающие сторонние серверные части сеанса должны проверить, присутствует ли такая же уязвимость в их серверной части, и исправить ее, если это так.

Copyright ©2020 All rights reserved