Примечания к выпуску Django 1.5.4¶
Сентябрь 14, 2013
Это Django 1.5.4, четвертый релиз в серии Django 1.5. В нем решены две проблемы безопасности и одна ошибка.
Отказ в обслуживании с помощью хешеров паролей¶
В предыдущих версиях Django не было ограничений на длину пароля в открытом тексте. Это позволяло проводить атаки типа «отказ в обслуживании» через отправку фальшивых, но очень больших паролей, задействуя ресурсы сервера для вычисления соответствующего хэша (дорогого и все более дорогого с ростом длины пароля).
Начиная с версии 1.5.4, система аутентификации Django устанавливает ограничение в 4096 байт для паролей и не пройдет аутентификацию с любым паролем большей длины.
Исправлено использование sensitive_post_parameters()
в админке django.contrib.auth
¶
При декорировании представлений администратора пользователя add_view
и user_change_password
с помощью sensitive_post_parameters()
не было включено method_decorator()
(необходимое, поскольку представления являются методами), что приводило к неправильному применению декоратора. Это исправлено, и теперь при неправильном использовании sensitive_post_parameters()
будет выбрасываться исключение.
Исправления¶
- Исправлена ошибка, из-за которой
QuerySet
, использующийprefetch_related()
, не мог быть пикирован и распикирован более одного раза (вторая попытка пикирования вызывала исключение) (#21102).