Примечания к выпуску Django 3.0.4 ¶
4 марта 2020 г.
Django 3.0.4 исправляет проблему безопасности и несколько ошибок в 3.0.3.
CVE-2020-9402: потенциальная SQL-инъекция через tolerance
параметр в функциях и агрегатах ГИС в Oracle ¶
ГИС-функции и агрегаты в Oracle подвергались SQL-инъекции с использованием специально созданного файла tolerance
.
Исправления ¶
- Исправлена возможность потери данных при использовании кеширования из асинхронного кода ( # 31253 ).
- Исправлена регрессия в Django 3.0, из-за которой ответ файла с использованием временного файла закрывался некорректно ( # 31240 ).
- Исправлена возможность потери данных в
select_for_update()
. При использовании связанных полей или полей родительской ссылки с наследованием нескольких таблиц вof
аргументе соответствующие модели не были заблокированы ( # 31246 ). - Исправлена регрессия в Django 3.0, которая приводила к неправильному размещению параметров в зарегистрированных SQL-запросах Oracle ( # 31271 ).
- Исправлена регрессия в Django 3.0.3, которая приводила к неправильному размещению параметров SQL-запросов при вычитании
DateField
илиDateTimeField
выражениях в MySQL ( # 31312 ). - Исправлена регрессия в Django 3.0, которая не включала подзапросы, охватывающие многозначные отношения в предложении ( # 31150 ).
GROUP BY