Catatan terbitan Django 1.11.5¶
5 September 2017
Django 1.11.5 memperbaiki masalah keamanan dan beberapa kesalahan di 1.11.4.
CVE-2017-12794: Kemungkinan XSS dalam melacak kembali bagian dari halaman teknis mencari kesalahan 500¶
Dalam versi terlama, pelolosan otomatis HTML ditiadakan dalam bagian dari cetakan untuk halaman teknis mencari kesalahan 500. Memberikan keadaan benar, ini mengizinkan serangan cross-site scripting. Kerentanan ini tidak harus mempengaruhi kebanyakan situs-situs produksi sejak anda tidak harus menjalankan dengan DEBUG = True
(yang membuat halaman ini dapat diakses) dalam pengaturan produksi anda.
Perbaikan kesalahan¶
- Diperbaiki penguraian versi GEOS jika versi mempunyai campuran commit pada akhir (baru di GEOS 3.6.2) (#28441).
- Ditambahkan kesesuaian untuk
cx_Oracle
6 (#28498). - Diperbaiki pemilihan membangun widget ketika nilai ilihan adalah tuple (#28502).
- Django 1.11 inadvertently changed the sequence and trigger naming scheme on
Oracle. This causes errors on INSERTs for some tables if
'use_returning_into': False
is in theOPTIONS
part ofDATABASES
. The pre-1.11 naming scheme is now restored. Unfortunately, it necessarily requires an update to Oracle tables created with Django 1.11.[1-4]. Use the upgrade script in #28451 comment 8 to update sequence and trigger names to use the pre-1.11 naming scheme. - Ditambahkan dukungan permintaan POST pada
LogoutView
, untuk kesetaraan dengan tampilanlogout()
berdasarkan-fungsi (#28513). - Omitted
pages_per_range
fromBrinIndex.deconstruct()
if it'sNone
(#25809). - Fixed a regression where
SelectDateWidget
localized the years in the select box (#28530). - Fixed a regression in 1.11.4 where
runserver
crashed with non-Unicode system encodings on Python 2 + Windows (#28487). - Fixed a regression in Django 1.10 where changes to a
ManyToManyField
weren't logged in the admin change history (#27998) and preventedManyToManyField
initial data in model forms from being affected by subsequent model changes (#28543). - Fixed non-deterministic results or an
AssertionError
crash in some queries with multiple joins (#26522). - Fixed a regression in
contrib.auth
'slogin()
andlogout()
views where they ignored positional arguments (#28550).