Django 1.7.10 release notes¶

Denial-of-service-möjlighet i logout()-vyn genom att fylla sessionslagret¶

Tidigare kunde en session skapas vid anonym åtkomst till vyn django.contrib.auth.views.logout() (förutsatt att den inte var dekorerad med login_required() som görs i admin). Detta kan göra det möjligt för en angripare att enkelt skapa många nya sessionsposter genom att skicka upprepade förfrågningar, vilket potentiellt kan fylla upp sessionslagret eller orsaka att andra användares sessionsposter kastas ut.

Klassen:~django.contrib.sessions.middleware.SessionMiddleware har ändrats så att den inte längre skapar tomma sessionsposter, inklusive när :inställningen:`SESSION_SAVE_EVERY_REQUEST` är aktiv.

Dessutom har metoderna contrib.sessions.backends.base.SessionBase.flush() och cache_db.SessionStore.flush() modifierats för att undvika att en ny tom session skapas. Underhållare av tredjeparts-sessionsbackends bör kontrollera om samma sårbarhet finns i deras backend och i så fall korrigera den.