Примечания к выпуску Django 2.1.2

1 октября 2018 г.

Django 2.1.2 исправляет проблему безопасности и несколько ошибок в 2.1.1. Кроме того, включены последние переводы строк от Transifex.

CVE-2018-16984: Пароль хэш раскрытие «просмотреть только» пользователь администратора

Если пользователь с правами администратора имеет разрешение на изменение модели пользователя, в форме изменения отображается только часть хэша пароля. Пользователи с правами администратора с разрешением на просмотр (но не на изменение) модели пользователя отображали весь хэш. Хотя обычно невозможно отменить надежный хэш пароля, если ваш сайт использует более слабые алгоритмы хеширования паролей, такие как MD5 или SHA1, это может стать проблемой.

Исправления ошибок

  • Устранена регрессия , где отсутствует соединяющую в F() больше не поднял FieldError ( # 29727 ).
  • Исправлена ​​регрессия, при которой файлы, начинающиеся с тильды или подчеркивания, не игнорировались загрузчиком миграции ( # 29749 ).
  • Сделаны миграции для обнаружения изменений в Meta.default_related_name ( # 29755 ).
  • Добавлена ​​совместимость для cx_Oracle 7 ( # 29759 ).
  • Исправлена ​​регрессия в Django 2.0, когда уникальные имена индексов не заключались в кавычки ( # 29778 ).
  • Исправлена ​​регрессия, когда на Oracle 12.1 ( # 29630 ) происходил сбой разделенных запросов с несколькими столбцами с одинаковыми именами .
  • Исправлен сбой, когда пользователь с разрешением на просмотр (но не на изменение) отправлял POST-запрос в форму изменения пользователя с правами администратора ( # 29809 ).

Copyright ©2021 All rights reserved