Примечания к выпуску Django 1.5.4 ¶

Отказ в обслуживании через хэшеры паролей ¶

В предыдущих версиях Django не было ограничений на длину открытого текста пароля. Это позволяло проводить атаку типа «отказ в обслуживании» путем отправки поддельных, но очень больших паролей, связывая ресурсы сервера с выполнением (дорогостоящим и все более дорогостоящим в зависимости от длины пароля) вычисления соответствующего хэша.

Начиная с версии 1.5.4, структура аутентификации Django налагает ограничение на пароли в 4096 байт и не выполняет аутентификацию с любым отправленным паролем большей длины.

Исправлено использование sensitive_post_parameters() в django.contrib.auth админке ¶

Оформление представлений администратора add_view и user_change_password пользователя с помощью sensitive_post_parameters() не включено method_decorator() (требуется, поскольку представления являются методами), что приводит к неправильному применению декоратора. Это использование было исправлено и sensitive_post_parameters() теперь будет вызывать исключение, если оно используется неправильно.

Исправления ¶

• Исправлена ​​ошибка, из-за QuerySet которой объект, который использует, prefetch_related() не мариновался и не собирался более одного раза (вторая попытка травления вызвала исключение) (# 21102).