Django 3.0.4 版本发行说明

2020 年 3 月 4 日

Django 3.0.4 修复了 3.0.3 版本中的一个安全问题和多个错误。

CVE-2020-9402: 在 Oracle 上的 GIS 函数和聚合中,通过 tolerance 参数可能存在 SQL 注入风险。

在 Oracle 上的 GIS 函数和聚合存在 SQL 注入风险,使用适当构造的 tolerance

漏洞修复

  • 修复了在异步代码中使用缓存时可能导致数据丢失的问题 (#31253)。

  • 修复了 Django 3.0 中的一个回归问题,该问题导致使用临时文件的文件响应被不正确地关闭 (#31240)。

  • 修复了 select_for_update() 中的数据丢失可能性。当在 of 参数中使用相关字段或父链接字段与 多表继承 结合使用时,相应的模型没有被锁定 (#31246)。

  • 修复了 Django 3.0 中的一个回归问题,该问题导致在 Oracle 上记录的 SQL 查询中参数位置不正确 (#31271)。

  • 修复了 Django 3.0.3 中的一个回归问题,该问题导致在 MySQL 上在减去 DateFieldDateTimeField 表达式时,SQL 查询的参数位置不正确 (#31312)。

  • 修复了 Django 3.0 中的一个回归问题,该问题导致在 GROUP BY 子句中未包括跨多值关系的子查询 (#31150)。

Back to Top