1 November 2016
Django 1.10.3 memperbaiki dua masalah keamanan dan beberapa kesalahan di 1.10.2.
Ketika menjalankan percobaan dengan basisdata Oracle, Django membuat basisdata sementara pengguna. Di versi terlama, jika sandi tidak secara manual ditentukan di pengaturan basisdata kamus TEST
, sebuah kode keras sandi digunakan. Inidapat mengizinkan penyerang dengan akses jaringan ke peladen basisdata untuk terhubung.
Pengguna ini biasanya dibuang setelah rangkaian percobaan selesai, tetapi tidak ketika menggunakan pilihan manage.py test --keepdb
atau jika pengguna mempunyai sesi aktif (seperti seorang hubungan penyerang).
Secara acak sandi dibangkitkan sekarang digunakan untuk setiap pejalan percobaan.
DEBUG=True
¶Versi terlama dari Django tidak mensahakn kepala Host
terhadap settings.ALLOWED_HOSTS
ketika settings.DEBUG=True
. Ini membuat mereka rentan pada DNS rebinding attack.
Selagi Django tidak dibekali modul yang mengizinkan pengerjaan kode secara terpencil, ini setidaknya vektor cross-site scripting, yang dapat sangat serius jika pengembang memuat salinan dari basisdata produksi di pengembangan atau terhubung ke beberapa layanan produksi untuk dimana tidak ada instance pengembangan, sebagai contoh. Jika sebuah proyek menggunakan sebuah paket seperti django-debug-toolbar
, kemudian penyerang dapa menjalankan SQL yang berubah-ubah, yang dapat khususnya buruk jika pengembang terhubung ke basisdata dengan akun superuser.
settings.ALLOWED_HOSTS
sekarang disahkan meskipun DEBUG
. Untuk kemnyamanan, jika ALLOWED_HOSTS
adalah kosong dan DEBUG=True
, perbedaan berikut dari localhost diizinkan ['localhost', '127.0.0.1', '::1']
. Jika berkas pengaturan lokal anda mempunyai produksi anda nilai ALLOWED_HOSTS
, anda harus sekarang menghilangkan itu untuk mendapatkan nilai fallback tersebut.
User.is_authenticated
dan User.is_anonymous
untuk dicobakan untuk set
keanggotaan (#27309).migrate
di proyek dengan tindakan RenameModel
(#27279).model_name
pada panggilan allow_migrate()
di makemigrations
(#27200).JavaScriptCatalog
mematuhi argumen packages
; sebelumnya dia diabaikan (#27374).QuerySet.bulk_create()
pada PostgreSQL ketika sejumlah obyek adalah banyak ditambah satu dari batch_size
(#27385).i18n_patterns()
dari menggunakan terlalu banyak dari URL sebagai bahasa untuk memperbaki kasus penggunaan untuk prefix_default_language=False
(#27063).SessionMiddleware
ketika sebuah sesi dihancurkan di permintaan yang berbarengan dengan sebuah SuspiciousOperation
untuk mengarahkan bahwa permintaan tidak dapat dilengkapi (#27363).Mar 30, 2019