Django 4.2.7 版本发行说明

2023 年 11 月 1 日

Django 4.2.7 修复了一个"中等"严重性的安全问题,以及 4.2.6 版本中的几个错误。

CVE-2023-46695: UsernameField 在 Windows 上的潜在拒绝服务漏洞

在 Windows 上,NFKC normalization 的速度较慢。因此,django.contrib.auth.forms.UsernameField 可能会受到通过具有大量 Unicode 字符的某些输入发起的潜在拒绝服务攻击的影响。

为了避免这个漏洞,超过 UsernameField.max_length 长度的无效值不再进行规范化,因为它们无论如何都无法通过验证。

漏洞修复

  • 修复了 Django 4.2 中的一个回归问题,导致 QuerySet.aggregate() 在引用包含子查询的表达式的聚合时崩溃(#34798)。
  • 恢复了在 Django 4.2 中发生的一个回归问题,可以在 PostgreSQL 上的 CharFieldTextField 上创建具有确定性排序规则的 varchar/text_pattern_ops 索引(#34932)。
Django 4.2.8 版本发行说明
Django 4.2.6 版本发行说明
Back to Top