Примечания к выпуску Django 1.4.22 ¶

Возможность отказа в обслуживании logout() при заполнении хранилища сессий ¶

Раньше сеанс можно было создать при анонимном доступе к django.contrib.auth.views.logout() представлению (при условии, что оно не было оформлено так, login_required() как это сделано в админке). Это может позволить злоумышленнику легко создавать множество новых записей сеанса, отправляя повторяющиеся запросы, потенциально заполняя хранилище сеансов или вызывая выселение записей сеансов других пользователей.

SessionMiddleware Был изменен , чтобы больше не создавать пустые сессии записи, в том числе , когда SESSION_SAVE_EVERY_REQUEST активен.

Кроме того, contrib.sessions.backends.base.SessionBase.flush() и cache_db.SessionStore.flush() методы были изменены , чтобы избежать создания новой пустой сессии. Сопровождающие сторонние серверные части сеанса должны проверить, присутствует ли такая же уязвимость в их серверной части, и исправить ее, если это так.