Catatan terbitan Django 1.4.22

Agustus 18, 2015

Django 1.4.22 memperbaiki masalah keamanan di 1.4.21.

Itu juga memperbaiki dukungan dengan pip 7+ dengan meniadakan dukungan wheel. Versi terlama dari 1.4 akan secara diam membangun putaran rusak ketika dipasang dengan versi tersebut dari pip.

Kemungkinan denial-of-service dalam tampilan logout() dengan mengisi sesi toko

Sebelumnya, sebuah sesi dapat dibuat ketika anonim mengakses tampilan django.contrib.auth.views.logout() (disediakan itu tidak dihias dengan login_required() seperti yang dilakukan di admin). Ini dapat mengizinkan seorang penyerang dengan mudah membuat banyak rekaman sesi baru dengan mengirim permintaan secara berulang, kemungkinan mengisi penyimpanan sesi atau menyebabkan rekaman sesu pengguna lain dikeluarkan.

SessionMiddleware telah dirubah menjadi tidak lagi membuat rekaman sesi kosong, termasuk ketika SESSION_SAVE_EVERY_REQUEST aktif.

Selain itu, metode contrib.sessions.backends.base.SessionBase.flush() dan cache_db.SessionStore.flush() telah dirubah untuk menghindari membuat sesi kosong baru. Perawat dari backend sesi pihak-ketiga harus memeriksa jika kerentanan sama hadir di backend mereka dan memperbaiki itu kalai demikian.

Back to Top