Django 2.1.2 release notes¶
1 oktober 2018
Django 2.1.2 åtgärdar ett säkerhetsproblem och flera buggar i 2.1.1. Dessutom har de senaste strängöversättningarna från Transifex införlivats.
CVE-2018-16984: Lösenordshash avslöjas för administratörsanvändare med ”endast visning”¶
Om en administratörsanvändare har ändringsbehörighet till användarmodellen visas endast en del av lösenordshashen i ändringsformuläret. Administratörsanvändare med visningsbehörighet (men inte ändringsbehörighet) till användarmodellen fick se hela hashen. Det är vanligtvis omöjligt att vända en stark lösenordshash, men om din webbplats använder svagare lösenordshashalgoritmer som MD5 eller SHA1 kan det vara ett problem.
Buggrättningar¶
Åtgärdade en regression där icke-existerande sammanfogningar i
F()inte längre gav upphov tillFieldError(#29727).Åtgärdade en regression där filer som börjar med en tilde eller ett understreck inte ignorerades av migreringsladdaren (#29749).
Gjorde att migreringar upptäcker ändringar i
Meta.default_related_name(#29755).Kompatibilitet för
cx_Oracle7 har lagts till (#29759).Åtgärdade en regression i Django 2.0 där unika indexnamn inte citerades (#29778).
Åtgärdade en regression där skivade frågor med flera kolumner med samma namn kraschade på Oracle 12.1 (#29630).
En krasch åtgärdades när en användare med behörigheten view (men inte change) gjorde en POST-begäran till ett ändringsformulär för en admin-användare (#29809).
