Catatan terbitan Django 1.4.8

September 14, 2013

Django 1.4.8 memperbaiki dua masalah keamanan yang hadir di terbitan Django sebelumnya di rangkaian 1.4.

Denial-of-service melalui pengacak sandi

Di versi sebelumnya dari Django, tidak ada batasan dikenakan pada panjang teks polos dari sandi. Ini mengizinkan serangan denial-of-service melalui pengajuan dari tiruan tetapi sandi sangat besar, mengikat sumber daya peladen melakukan (mahal, dan meningkatkan mahal dengan panjang dari sandi) menghitung dari acakan berhubungan.

Mulai 1.4.8, kerangka kerja autentifikasi Django menyebabkan sebuah batasan 4096 byte pada sandi dan akan gagal autentifikasi dengan apapun sandi yang diajukan dari lebih panjang.

Penggunaan diperbaiki dari sensitive_post_parameters() di admin django.contrib.auth

Penghias add_view dan user_change_password dari tampilan admin pengguna dengan sensitive_post_parameters() tidak menyertakan method_decorator() (diwajibkan sejak tampilan adalah metode) menghasilkan di penghias tidak secara benar diberlakukan. Penggunaan ini telah diperbaiki dan sensitive_post_parameters() akan melempar sebuah pengecualian jika itu tidak benar digunakan.

Back to Top