Примечания к выпуску Django 2.1.5¶
4 января 2019
Django 2.1.5 исправляет проблему безопасности и несколько ошибок в 2.1.4.
CVE-2019-3498: Возможность подмены содержимого на странице 404 по умолчанию¶
Злоумышленник может создать вредоносный URL, который может заставить поддельное содержимое появиться на странице по умолчанию, генерируемой представлением django.views.defaults.page_not_found()
.
Путь URL больше не отображается в шаблоне 404 по умолчанию, а контекстная переменная request_path
теперь заключена в кавычки, чтобы исправить проблему для пользовательских шаблонов, использующих путь.
Исправления¶
- Исправлена совместимость с mysqlclient 1.3.14 (#30013).
- Исправлена проблема повреждения схемы на SQLite 3.26+. Вам может потребоваться сбросить и заново создать базу данных SQLite, если вы применили миграцию при использовании старой версии Django с SQLite 3.26 или более поздней (#29182).
- Предотвращение изменений схемы SQLite при включенных проверках внешних ключей для предотвращения возможности повреждения схемы (#30023).
- Исправлена регрессия в Django 2.1.4 (которая включала соединения keep-alive), когда данные тела запроса не потреблялись должным образом для таких соединений (#30015).
- Исправлена регрессия в Django 2.1.4, когда
InlineModelAdmin.has_change_permission()
некорректно вызывался с не``None``obj
аргументом во время добавления объекта (#30050).