Примечания к выпуску Django 1.5.5 ¶
23 октября 2013 г.
Django 1.5.5 исправляет пару ошибок, связанных с безопасностью, и несколько других ошибок в серии 1.5.
Переадресованный отказ в обслуживании через хэшеры паролей ¶
Django 1.5.4 налагает ограничение на 4096 байт на пароли, чтобы смягчить атаку отказа в обслуживании путем отправки поддельных, но очень больших паролей. В Django 1.5.5 мы отменили это изменение и вместо этого повысили скорость нашего алгоритма PBKDF2, не перехэшируя ключ на каждой итерации.
Правильно поверните токен CSRF при входе в систему ¶
Это поведение, введенное в качестве меры по усилению безопасности в Django 1.5.2, не работало должным образом и теперь исправлено.
Исправления ¶
- Исправлена ошибка повреждения данных с
datetime_safe.datetime.combine
(# 21256). - Исправлена несовместимость Python 3 в
django.utils.text.unescape_entities()
(# 21185). - Исправлена пара проблем с повреждением данных в
QuerySet
крайних случаях в Oracle и MySQL (# 21203, # 21126). - Фиксированные сбои при использовании комбинаций
annotate()
,select_related()
иonly()
(# 16436).
Обратно несовместимые изменения ¶
- Недокументированное
django.core.servers.basehttp.WSGIServerException
удалено. Использование приsocket.error
условии стандартной библиотеки вместо этого.