Примечания к выпуску Django 1.4.22 ¶
18 августа 2015 г.
Django 1.4.22 устраняет проблему безопасности в 1.4.21.
Он также исправляет поддержку с помощью pip 7+, отключая поддержку колеса. Более старые версии 1.4 автоматически ломали колесо при установке с этими версиями pip.
Возможность отказа в обслуживании logout()
при заполнении хранилища сессий ¶
Раньше сеанс можно было создать при анонимном доступе к
django.contrib.auth.views.logout()
представлению (при условии, что оно не было оформлено так, login_required()
как это было сделано в админке). Это может позволить злоумышленнику легко создавать множество новых записей сеанса, отправляя повторяющиеся запросы, потенциально заполняя хранилище сеансов или вызывая выселение записей сеансов других пользователей.
SessionMiddleware
Был изменен , чтобы больше не создавать пустые сессии записи, в том числе , когда
SESSION_SAVE_EVERY_REQUEST
активен.
Кроме того, contrib.sessions.backends.base.SessionBase.flush()
и
cache_db.SessionStore.flush()
методы были изменены , чтобы избежать создания новой пустой сессии. Сопровождающие сторонние серверные части сеанса должны проверить, присутствует ли такая же уязвимость в их серверной части, и исправить ее, если это так.