Catatan terbitan Django 1.5.4¶
September 14, 2013
Ini adalah Django 1.5.4, terbitan keempat di rangkaian Django 1.5. Itu mengalamatkan dua masalah keamanan dan satu kesalahan.
Denial-of-service melalui pengacak sandi¶
Di versi sebelumnya dari Django, tidak ada batasan dikenakan pada panjang teks polos dari sandi. Ini mengizinkan serangan denial-of-service melalui pengajuan dari tiruan tetapi sandi sangat besar, mengikat sumber daya peladen melakukan (mahal, dan meningkatkan mahal dengan panjang dari sandi) menghitung dari acakan berhubungan.
Sejak kerangka kerja otentifikasi Django 1.5.4 memaksa batasan 4096-byte di sandi, dan otentifikasi akan gagal dengan sandi apapun yang diajukan dari panjang lebih besar.
Penggunaan diperbaiki dari sensitive_post_parameters()
di admin django.contrib.auth
¶
Penghias add_view
dan user_change_password
dari tampilan admin pengguna dengan sensitive_post_parameters()
tidak menyertakan method_decorator()
(diwajibkan sejak tampilan adalah metode) menghasilkan di penghias tidak secara benar diberlakukan. Penggunaan ini telah diperbaiki dan sensitive_post_parameters()
akan melempar sebuah pengecualian jika itu tidak benar digunakan.
Perbaikan kesalahan¶
- Diperbaiki sebuah kesalahan yang mencegah sebuah
QuerySet
yang menggunakanprefetch_related()
dari menjadi kesulitan dan tidak kesulitan lebih dari sekali (kesulitan kedua berusaha memunculkan sebuah pengecualian) (#21102).