CVE-2018-6188: AuthenticationForm 中的信息泄露问题¶

Django 1.11.8 中的一个退化问题导致 AuthenticationForm 即使输入了不正确的密码，也会运行其 confirm_login_allowed() 方法。这可能会泄露关于用户的信息，具体取决于 confirm_login_allowed() 引发了什么消息。如果未覆盖 confirm_login_allowed()，攻击者可以输入任意用户名并查看该用户是否已设置为 is_active=False。如果覆盖了 confirm_login_allowed()，则可能会泄露更敏感的详细信息。

这个问题已经得到修复，但需要注意的是，如果身份验证后端拒绝非活动用户（默认身份验证后端“ModelBackend”自 Django 1.10 起就一直是这样），那么 AuthenticationForm 不再会引发“此帐户处于非活动状态。”错误。这个问题将在 Django 2.1 中重新审查，因为解决这个问题的修复措施可能对旧版本来说过于侵入性。

漏洞修复¶

• 修复了如果一个模型有两个指向同一模型的外键，且目标模型被删除时外键空值化不正确的问题 (#29016)。

• 修复了一个退化问题，即如果身份验证后端不接受 request，而后续的后端接受它，contrib.auth.authenticate() 会崩溃的问题 (#29071)。

• 修复了在 ModelAdmin.raw_id_fields 中输入无效 UUID 时导致崩溃的问题 (#29094)。