Примечания к выпуску Django 2.1.2

Октябрь 1, 2018

Django 2.1.2 исправляет проблему безопасности и несколько ошибок в 2.1.1. Также включены последние переводы строк от Transifex.

CVE-2018-16984: Раскрытие хэша пароля для административных пользователей «только для просмотра»

Если администратор имеет право изменять модель пользователя, то в форме изменения отображается только часть хэша пароля. Пользователи-администраторы с правом просмотра (но не изменения) модели пользователя отображали весь хэш. Хотя обычно невозможно отменить хэш сильного пароля, если на вашем сайте используются более слабые алгоритмы хэширования паролей, такие как MD5 или SHA1, это может стать проблемой.

Исправления

  • Исправлена ошибка, из-за которой несуществующие соединения в F() больше не вызывали FieldError (#29727).
  • Исправлена ошибка, при которой файлы, начинающиеся с тильды или подчеркивания, не игнорировались загрузчиком миграций (#29749).
  • Миграции обнаруживают изменения в Meta.default_related_name (#29755).
  • Добавлена совместимость с cx_Oracle 7 (#29759).
  • Исправлена ошибка в Django 2.0, когда имена уникальных индексов не заключались в кавычки (#29778).
  • Исправлена регрессия, при которой нарезанные запросы с несколькими столбцами с одинаковым именем аварийно завершались на Oracle 12.1 (#29630).
  • Исправлена ошибка, когда пользователь с правом просмотра (но не изменения) делал POST-запрос к форме изменения пользователя администратора (#29809).
Вернуться на верх