CVE-2021-31542 : traversée potentielle de répertoires via des fichiers téléversés¶

MultiPartParser, UploadedFile et FieldFile permettaient des traversées de répertoires via des fichiers téléversés avec des noms de fichiers trafiqués à dessein.

In order to mitigate this risk, stricter basename and path sanitation is now applied.

Correction de bogues¶

• Détection de GDAL 3.2 corrigée sous Windows (#32544).
• Correction d’un bogue de Django 3.2 où les sous-classes de BigAutoField et SmallAutoField n’étaient pas admises dans le réglage DEFAULT_AUTO_FIELD (#32620).
• Correction d’une régression dans Django 3.2 produisant un plantage de QuerySet.values()/values_list() après QuerySet.union(), intersection() et difference() lorsque le tri se faisait sur un champ non annoté (#32627).
• Suite à une régressions dans Django 3.2, l’affichage du message d’exception a été restauré sur la page de débogage technique 404 (#32637).
• Correction d’un bogue dans Django 3.2 où un contrôle système plante lors d’un accès inverse à des liaisons un-à-un dans CheckConstraint.check ou UniqueConstraint.condition (#32635).
• Correction d’une régression dans Django 3.2 qui provoquait un plantage de ModelAdmin.search_fields lors de recherche avec des phrases dont les guillemets ne sont pas fermés (#32649).
• Correction d’un bogue dans Django 3.2 où des erreurs de recherche de variable étaient journalisées en produisant le gabarit de plan de site si des alternatives n’étaient pas définies (#32648).
• Correction d’une régression dans Django 3.2 qui provoquait un plantage lors de la combinaison d’objets Q() contenant des expressions booléennes (#32548).
• Correction d’une régression dans Django 3.2 qui provoquait un plantage de QuerySet.update() sur un jeu de requête trié par des champs hérités ou joints avec MySQL et MariaDB (#32645).
• Correction d’une régression dans Django 3.2 qui provoquait un plantage lors du décodage d’une valeur de cookie utilisée par django.contrib.messages.storage.cookie.CookieStorage, dans le format pré Django 3.2 (#32643).
• Correction d’une régression dans Django 3.2 qui empêchait l’appui sur majuscule de sélectionner plusieurs lignes dans la liste pour modification du site d’administration (#32647).
• Correction d’un bogue dans Django 3.2 où un contrôle système plante sur le réglage STATICFILES_DIRS contenant une liste de tuples binaires (préfixe, chemin) (#32665).
• Correction d’un vieux bogue impliquant des combinaisons par bits de jeux de requête dans des sou-requêtes, ayant commencé à se manifester dans Django 3.2 en raison d’une autre correction utilisant Exists pour exclure des liaisons multivaluées (#32650).
• Correction d’un bogue dans Django 3.2 où des erreurs de recherche de variable étaient journalisées en produisant certains gabarits du site d’administration (#32681).
• Fixed a bug in Django 3.2 where an admin changelist would crash when deleting objects filtered against multi-valued relationships (#32682). The admin changelist now uses Exists() instead of QuerySet.distinct() because calling delete() after distinct() is not allowed in Django 3.2 to address a data loss possibility.
• Correction d’une régression dans Django 3.2 où l’environnement du processus appelant n’était pas transmis à la commande dbshell` avec PostgreSQL (#32687).
• Correction d’une régression de performance dans Django 3.2 lors de la construction de filtres complexes avec des sous-requêtes (#32632). Comme effet de bord, l’API privée pouvant vérifier l’égalité de django.db.sql.query.Query a été supprimée.