Примечания к выпуску Django 3.0.4¶
4 марта 2020
Django 3.0.4 исправляет проблему безопасности и несколько ошибок в 3.0.3.
CVE-2020-9402: Потенциальная SQL-инъекция через параметр tolerance
в функциях и агрегатах GIS на Oracle¶
Функции и агрегаты ГИС на Oracle были подвержены SQL-инъекции с использованием соответствующим образом составленного tolerance
.
Исправления¶
- Исправлена возможность потери данных при использовании кэширования из асинхронного кода (#31253).
- Исправлена регрессия в Django 3.0, из-за которой ответ файла, использующего временный файл, закрывался некорректно (#31240).
- Исправлена возможность потери данных в
select_for_update()
. При использовании связанных полей или полей родительской ссылки с Мультитабличное наследование в аргументеof
соответствующие модели не блокировались (#31246). - Исправлена регрессия в Django 3.0, которая приводила к неправильному расположению параметров в регистрируемых SQL-запросах на Oracle (#31271).
- Исправлена регрессия в Django 3.0.3, которая приводила к неправильному расположению параметров SQL-запросов при вычитании выражений
DateField
илиDateTimeField
на MySQL (#31312). - Исправлена регрессия в Django 3.0, которая не включала подзапросы, охватывающие многозначные отношения, в предложение
GROUP BY
(#31150).