Примечания к выпуску Django 3.2.4¶
2 июня 2021 года
Django 3.2.4 исправляет две проблемы безопасности и несколько ошибок в 3.2.3.
CVE-2021-33203: потенциальный обход каталога через admindocs
¶
Сотрудники могли использовать представление admindocs
TemplateDetailView
для проверки существования произвольных файлов. Кроме того, если (и только если) стандартные шаблоны admindocs были настроены разработчиками так, чтобы раскрывать содержимое файлов, то раскрывалось не только существование, но и содержимое файлов.
В качестве смягчения теперь применяется санация путей, и загружаются только файлы в корневых каталогах шаблонов.
CVE-2021-33571: Возможные неопределенные атаки SSRF, RFI и LFI, поскольку валидаторы принимали ведущие нули в адресах IPv4¶
URLValidator
, validate_ipv4_address()
и validate_ipv46_address()
не запрещали ведущие нули в восьмеричных литералах. Если вы использовали такие значения, вы могли пострадать от неопределенных атак SSRF, RFI и LFI.
Валидаторы validate_ipv4_address()
и validate_ipv46_address()
не были затронуты на Python 3.9.5+.
Исправления¶
- Исправлена ошибка в Django 3.2, когда конечное представление catch-all в админке не соблюдало предоставленное сервером значение
SCRIPT_NAME
при перенаправлении неаутентифицированных пользователей на страницу входа (#32754). - Исправлена ошибка в Django 3.2, когда системная проверка аварийно завершалась на абстрактной модели (#32733).
- Предотвращена ненужная инициализация неиспользуемых кэшей после регрессии в Django 3.2 (#32747).
- Исправлен сбой в Django 3.2, который мог произойти при запуске
mod_wsgi
с рекомендуемыми настройками, когда была установлена библиотека Windowscolorama
(#32740). - Исправлена ошибка в Django 3.2, которая приводила к срабатыванию автозагрузки при изменении шаблона, когда пути к каталогам были указаны строками (#32744).
- Исправлена регрессия в Django 3.2, которая приводила к сбою автозагрузки с
AttributeError
, например, внутри окруженияConda
(#32783). - Исправлена регрессия в Django 3.2, которая приводила к потере точности для операций с
DecimalField
на MySQL (#32793).