Примечания к выпуску Django 1.5.5

Октябрь 23, 2013

Django 1.5.5 исправляет пару ошибок, связанных с безопасностью, и несколько других ошибок в серии 1.5.

Устранение отказа в обслуживании через хешеры паролей

Django 1.5.4 вводит ограничение на 4096 байт для паролей, чтобы смягчить атаку «отказ в обслуживании» через отправку фальшивых, но очень больших паролей. В Django 1.5.5 мы отменили это изменение и вместо этого улучшили скорость нашего алгоритма PBKDF2, отказавшись от повторного хэширования ключа на каждой итерации.

Правильная ротация CSRF-токена при входе в систему

Это поведение, введенное в качестве меры усиления безопасности в Django 1.5.2, не работало должным образом и теперь исправлено.

Исправления

  • Исправлена ошибка повреждения данных при использовании datetime_safe.datetime.combine (#21256).
  • Исправлена несовместимость с Python 3 в django.utils.text.unescape_entities() (#21185).
  • Исправлена пара проблем с повреждением данных в крайних случаях QuerySet под Oracle и MySQL (#21203, #21126).
  • Исправлены сбои при использовании комбинаций annotate(), select_related() и only() (#16436).

Обратные несовместимые изменения

  • Недокументированный django.core.servers.basehttp.WSGIServerException был удален. Вместо этого используйте socket.error, предоставляемый стандартной библиотекой.
Вернуться на верх