CVE-2017-12794: Kemungkinan XSS dalam melacak kembali bagian dari halaman teknis mencari kesalahan 500¶

Dalam versi terlama, pelolosan otomatis HTML ditiadakan dalam bagian dari cetakan untuk halaman teknis mencari kesalahan 500. Memberikan keadaan benar, ini mengizinkan serangan cross-site scripting. Kerentanan ini tidak harus mempengaruhi kebanyakan situs-situs produksi sejak anda tidak harus menjalankan dengan DEBUG = True (yang membuat halaman ini dapat diakses) dalam pengaturan produksi anda.

Perbaikan kesalahan¶

• Diperbaiki penguraian versi GEOS jika versi mempunyai campuran commit pada akhir (baru di GEOS 3.6.2) (#28441).
• Ditambahkan kesesuaian untuk cx_Oracle 6 (#28498).
• Diperbaiki pemilihan membangun widget ketika nilai ilihan adalah tuple (#28502).
• Django 1.11 secara tidak sengaja merubah urutan dan pemicu skema penamaan pada Oracle. Ini menyebabkan kesalahan pada INSERT untuk beberapa tabel jika 'use_returning_into': False adalah dalam OPTIONS bagian dari DATABASES. Pra-1.11 skema penamaan sekarang disimpan kembali. Sayangnya, itu perlu butuh sebuah pembaharuan pada tabel-tabel Oracle dibuat dengan Django 1.11.[1-4]. Gunakan tulisan memperbaharui dalam #28451 komentar 8 untuk memperbaharui urutan dan pemicu nama-nama untuk menggunakan skema penamaan pra-1.11.
• Ditambahkan dukungan permintaan POST pada LogoutView, untuk kesetaraan dengan tampilan logout() berdasarkan-fungsi (#28513).
• Dihilangkan pages_per_range dari BrinIndex.deconstruct() jika itu adalah None (#25809).
• Diperbaiki sebuah pemulihan dimana SelectDateWidget melokalkan tahun dalam kotak pilihan (#28530).
• Diperbaiki sebuah pemulihan dalam 1.11.4 dimana runserver gagal dengan sistem pengkodean bukan-Unicode pada Python 2 + Windows (#28487).
• Diperbaiki sebuah pemulihan dalam Django 1.10 dimana perubahan pada ManyToManyField tidak tercatat dalam riwayat perubahan admin (#27998) dan dicegah data inisial ManyToManyField dalam formulir model sedang dipengaruhi oleh perubahan model selanjutnya (#28543).
• Diperbaiki hasil bukan-deterministik atau sebuah kegagalan AssertionError dalam beberapa permintaan dengan banyak penggabungan (#26522).
• Diperbaiki sebuah pemulihan dalam tampilan-tampilan login() dan logout() contrib.auth dimana mereka mengabaikan penempatan argumen-argumen (#28550).