Catatan terbitan Django 1.5.4

September 14, 2013

Ini adalah Django 1.5.4, terbitan keempat di deretan Django 1.5. Itu mengalamatkan dua masalah keamanan dan satu kesalahan.

Denial-of-service melalui pengacak sandi

Di versi sebelumnya dari Django, tidak ada batasan dikenakan pada panjang teks polos dari sandi. Ini mengizinkan serangan denial-of-service melalui pengajuan dari tiruan tetapi sandi sangat besar, mengikat sumber daya peladen melakukan (mahal, dan meningkatkan mahal dengan panjang dari sandi) menghitung dari acakan berhubungan.

Sejak kerangka kerja otentifikasi Django 1.5.4 memaksa batasan 4096-byte di sandi, dan otentifikasi akan gagal dengan sandi apapun yang diajukan dari panjang lebih besar.

Penggunaan diperbaiki dari sensitive_post_parameters() di admin django.contrib.auth

Penghias add_view dan user_change_password dari tampilan admin pengguna dengan sensitive_post_parameters() tidak menyertakan method_decorator() (diwajibkan sejak tampilan adalah metode) menghasilkan di penghias tidak secara benar diberlakukan. Penggunaan ini telah diperbaiki dan sensitive_post_parameters() akan melempar sebuah pengecualian jika itu tidak benar digunakan.

Perbaikan kesalahan

  • Diperbaiki sebuah kesalahan yang mencegah sebuah QuerySet yang menggunakan prefetch_related() dari menjadi kesulitan dan tidak kesulitan lebih dari sekali (kesulitan kedua berusaha memunculkan sebuah pengecualian) (#21102).

Back to Top