Django 1.5.4 release notes¶

Nekande av tjänst via lösenordshashers¶

I tidigare versioner av Django fanns det ingen gräns för hur långt ett lösenord fick vara i klartext. Detta möjliggjorde en överbelastningsattack genom inlämning av falska men extremt stora lösenord, vilket band upp serverresurserna för att utföra (dyr och allt dyrare med längden på lösenordet) beräkningen av motsvarande hash.

Från och med 1.5.4 har Djangos autentiseringsramverk en gräns på 4096 byte för lösenord och kommer att misslyckas med autentisering med ett lösenord som är längre än så.

Korrigerad användning av sensitive_post_parameters() i django.contrib.auth’s admin¶

Dekorationen av användaradministratörsvyerna add_view och user_change_password med sensitive_post_parameters() inkluderade inte method_decorator() (krävs eftersom vyerna är metoder) vilket resulterade i att dekoratorn inte tillämpades korrekt. Denna användning har åtgärdats och sensitive_post_parameters() kommer nu att ge upphov till ett undantag om den används på fel sätt.

Buggrättningar¶

• Åtgärdat ett fel som förhindrade att en QuerySet som använder prefetch_related() kunde betas och avbetas mer än en gång (det andra betningsförsöket ledde till ett undantag) (#21102).