CVE-2020-24583 : permissions incorrectes sur les répertoires de niveau intermédiaire avec Python 3.7+¶

Avec Python 3.7+, le mode FILE_UPLOAD_DIRECTORY_PERMISSIONS n’était pas appliqué aux répertoires de niveau intermédiaire créés dans le processus de téléversement de fichiers et pour les répertoires de niveau intermédiaire des fichiers statiques collectés lors de l’utilisation de la commande d’administration collectstatic.

Vous devriez examiner et corriger manuellement les permissions sur les répertoires de niveau intermédaire existants.

CVE-2020-24584 : escalade de permissions dans les répertoires intermédiaires du cache par système de fichiers avec Python 3.7+.¶

Avec Python 3.7+, les répertoires intermédiaires du cache par système de fichiers possédaient la valeur umask standard du système au lieu de 0o077 (aucune permission de groupe ou d’autres (others)).

Correction de bogues¶

• Une possibilité de perte de données a été corrigée dans select_for_update(). Lorsqu’on utilisait des champs relationnels pointant vers un modèle mandataire dans le paramètre of, le modèle correspondant n’était pas verrouillé (#31866).
• Une possibilité de perte de données a été corrigée, à la suite d’une régression dans Django 2.0, lors de la copie d’instances de modèles avec une valeur de champ mise en cache (#31863).