Примечания к выпуску Django 1.5.4

Сентябрь 14, 2013

Это Django 1.5.4, четвертый релиз в серии Django 1.5. В нем решены две проблемы безопасности и одна ошибка.

Отказ в обслуживании с помощью хешеров паролей

В предыдущих версиях Django не было ограничений на длину пароля в открытом тексте. Это позволяло проводить атаки типа «отказ в обслуживании» через отправку фальшивых, но очень больших паролей, задействуя ресурсы сервера для вычисления соответствующего хэша (дорогого и все более дорогого с ростом длины пароля).

Начиная с версии 1.5.4, система аутентификации Django устанавливает ограничение в 4096 байт для паролей и не пройдет аутентификацию с любым паролем большей длины.

Исправлено использование sensitive_post_parameters() в админке django.contrib.auth

При декорировании представлений администратора пользователя add_view и user_change_password с помощью sensitive_post_parameters() не было включено method_decorator() (необходимое, поскольку представления являются методами), что приводило к неправильному применению декоратора. Это исправлено, и теперь при неправильном использовании sensitive_post_parameters() будет выбрасываться исключение.

Исправления

  • Исправлена ошибка, из-за которой QuerySet, использующий prefetch_related(), не мог быть пикирован и распикирован более одного раза (вторая попытка пикирования вызывала исключение) (#21102).
Вернуться на верх