Примечания к выпуску Django 3.0.10¶
Сентябрь 1, 2020
Django 3.0.10 исправляет две проблемы безопасности и две ошибки потери данных в версии 3.0.9.
CVE-2020-24583: Неверные разрешения на каталоги промежуточного уровня на Python 3.7+¶
В Python 3.7+ режим FILE_UPLOAD_DIRECTORY_PERMISSIONS
не применялся к каталогам промежуточного уровня, созданным в процессе загрузки файлов, и к собранным статическим каталогам промежуточного уровня при использовании команды управления collectstatic
.
Вы должны проверить и вручную исправить разрешения для существующих каталогов промежуточного уровня.
CVE-2020-24584: Повышение прав доступа в каталогах промежуточного уровня в кэше файловой системы на Python 3.7+¶
В Python 3.7+ каталоги промежуточного уровня кэша файловой системы имели стандартный umask системы, а не 0o077
(без групповых и прочих разрешений).
Исправления¶
- Исправлена возможность потери данных в аргументе
select_for_update()
. При использовании связанных полей, указывающих на прокси-модель в аргументеof
, соответствующая модель не блокировалась (#31866). - Исправлена возможность потери данных, следующая за регрессией в Django 2.0, при копировании экземпляров модели с кэшированным значением полей (#31863).