CVE-2023-46695: Windows における UsernameField に潜在するサービス拒否 (DoS) の脆弱性¶

NFKC 正規化 は Windows 上で遅いため、django.contrib.auth.forms.UsernameField は非常に多くの Unicode 文字を含む特定の入力によってサービス拒否攻撃 (DoS) を受ける可能性がありました。

脆弱性を避けるため、UsernameField.max_length よりも長い無効な値は、いずれにせよバリデーションを通過できないため、正規化されなくなりました。

Bugfixes¶

• Django 4.2 でのリグレッションを修正しました。これは、サブクエリを含む式を参照する集計を使用した場合に QuerySet.aggregate() がクラッシュする原因となっていました (#34798)。
• Django 4.2 で生じたリグレッションに対処し、PostgreSQL 上で決定論的照合順序 (collation) を使用して CharField と TextField に対する varchar/text_pattern_ops インデックスを作成する機能が復元されました (#34932)。