Примечания к выпуску Django 3.0.7

3 июня 2020 г.

Django 3.0.7 исправляет две проблемы безопасности и несколько ошибок в 3.0.6.

CVE-2020-13254: потенциальная утечка данных из-за искаженных ключей memcached

В случаях, когда серверная часть memcached не выполняет проверку ключей, передача неверно сформированных ключей кэша может привести к конфликту ключей и потенциальной утечке данных. Чтобы избежать этой уязвимости, к бэкэндам кеш-памяти memcached добавлена ​​проверка ключей.

CVE-2020-13596: возможен XSS через администратора ForeignKeyRawIdWidget

Параметры запроса для администратора ForeignKeyRawIdWidget не были правильно закодированы в URL-адресе, что создает вектор атаки XSS. ForeignKeyRawIdWidget теперь гарантирует, что параметры запроса правильно закодированы в URL.

Исправления

  • Исправлена ​​регрессия в Django 3.0 путем восстановления возможности использовать поиск по полю в Meta.ordering ( # 31538 ).
  • Исправлена ​​регрессия в Django 3.0, при которой QuerySet.values() и происходил values_list() сбой, если набор запросов содержал агрегацию и аннотацию подзапроса ( # 31566 ).
  • Исправлена ​​регрессия в Django 3.0, когда агрегаты использовали неправильные аннотации, когда в наборе запросов было несколько аннотаций подзапросов ( # 31568 ).
  • Исправлена ​​регрессия в Django 3.0, когда QuerySet.values() и происходил values_list() сбой, если набор запросов содержал агрегацию и Exists() аннотацию в Oracle ( # 31584 ).
  • Исправлена ​​регрессия в Django 3.0, когда все разрешенные Subquery() выражения считались равными ( # 31607 ).
  • Исправлена ​​регрессия в Django 3.0.5, которая влияла на загрузку переводов для приложений, предоставляющих переводы для территориальных языковых вариантов, а также для общего языка, где в проекте используются разные уравнения множественного числа для языка ( # 31570 ).
  • Отслеживая выпуск безопасности jQuery, обновил версию jQuery, используемую администратором, с 3.4.1 до 3.5.1.

Copyright ©2020 All rights reserved