Примечания к выпуску Django 2.0.8

1 августа 2018 г.

Django 2.0.8 исправляет проблему безопасности и несколько ошибок в 2.0.7.

CVE-2018-14574: открытая возможность перенаправления в CommonMiddleware

Если CommonMiddleware и APPEND_SLASH установка оба включено, и если проект имеет шаблон URL , который принимает любой путь , заканчивающийся косой черта (системы многих управлений контентом имеют такой шаблон), то запрос на вредоносную URL этого сайта может привести к перенаправление на другой сайт, позволяющее использовать фишинг и другие атаки.

CommonMiddleware теперь избегает косых черт в начале, чтобы предотвратить перенаправление на другие домены.

Исправления

  • Исправлена ​​регрессия в Django 2.0.7, которая нарушала regex поиск в MariaDB (хотя MariaDB официально не поддерживается) ( # 29544 ).
  • Исправлена ​​регрессия, при которой происходил django.template.Template сбой, если template_string аргумент был ленивым ( # 29617 ).

Copyright ©2021 All rights reserved