Примечания к выпуску Django 1.4.8¶
Сентябрь 14, 2013
Django 1.4.8 исправляет две проблемы безопасности, присутствовавшие в предыдущих выпусках Django серии 1.4.
Отказ в обслуживании с помощью хешеров паролей¶
В предыдущих версиях Django не было ограничений на длину пароля в открытом тексте. Это позволяло проводить атаки типа «отказ в обслуживании» через отправку фальшивых, но очень больших паролей, задействуя ресурсы сервера для вычисления соответствующего хэша (дорогого и все более дорогого с ростом длины пароля).
Начиная с версии 1.4.8, система аутентификации Django устанавливает ограничение в 4096 байт для паролей и не пройдет аутентификацию с любым паролем большей длины.
Исправлено использование sensitive_post_parameters()
в админке django.contrib.auth
¶
При декорировании представлений администратора пользователя add_view
и user_change_password
с помощью sensitive_post_parameters()
не было включено method_decorator()
(необходимо, поскольку представления являются методами), что приводило к неправильному применению декоратора. Это использование было исправлено, и sensitive_post_parameters()
теперь будет выбрасывать исключение при неправильном использовании.