Catatan terbitan Django 1.7.10¶
Agustus 18, 2015
Django 1.7.10 memperbaiki masalah keamanan di 1.7.9.
Kemungkinan denial-of-service dalam tampilan logout()
dengan mengisi sesi toko¶
Sebelumnya, sebuah sesi dapat dibuat ketika anonim mengakses tampilan django.contrib.auth.views.logout()
(disediakan itu tidak dihias dengan login_required()
seperti yang dilakukan di admin). Ini dapat mengizinkan seorang penyerang dengan mudah membuat banyak rekaman sesi baru dengan mengirim permintaan secara berulang, kemungkinan mengisi penyimpanan sesi atau menyebabkan rekaman sesu pengguna lain dikeluarkan.
SessionMiddleware
telah dirubah menjadi tidak lagi membuat rekaman sesi kosong, termasuk ketika SESSION_SAVE_EVERY_REQUEST
aktif.
Selain itu, metode contrib.sessions.backends.base.SessionBase.flush()
dan cache_db.SessionStore.flush()
telah dirubah untuk menghindari membuat sesi kosong baru. Perawat dari backend sesi pihak-ketiga harus memeriksa jika kerentanan sama hadir di backend mereka dan memperbaiki itu kalai demikian.