Примечания к выпуску Django 3.0.4

4 марта 2020 г.

Django 3.0.4 исправляет проблему безопасности и несколько ошибок в 3.0.3.

CVE-2020-9402: потенциальная SQL-инъекция через toleranceпараметр в функциях и агрегатах ГИС в Oracle

ГИС-функции и агрегаты в Oracle подвергались SQL-инъекции с использованием специально созданного файла tolerance.

Исправления

  • Исправлена ​​возможность потери данных при использовании кеширования из асинхронного кода ( # 31253 ).
  • Исправлена ​​регрессия в Django 3.0, из-за которой ответ файла с использованием временного файла закрывался некорректно ( # 31240 ).
  • Исправлена ​​возможность потери данных в select_for_update(). При использовании связанных полей или полей родительской ссылки с наследованием нескольких таблиц в ofаргументе соответствующие модели не были заблокированы ( # 31246 ).
  • Исправлена ​​регрессия в Django 3.0, которая приводила к неправильному размещению параметров в зарегистрированных SQL-запросах Oracle ( # 31271 ).
  • Исправлена ​​регрессия в Django 3.0.3, которая приводила к неправильному размещению параметров SQL-запросов при вычитании DateFieldили DateTimeFieldвыражениях в MySQL ( # 31312 ).
  • Исправлена ​​регрессия в Django 3.0, которая не включала подзапросы, охватывающие многозначные отношения в предложении ( # 31150 ).GROUP BY

Copyright ©2021 All rights reserved