Примечания к выпуску Django 1.5.5¶
Октябрь 23, 2013
Django 1.5.5 исправляет пару ошибок, связанных с безопасностью, и несколько других ошибок в серии 1.5.
Устранение отказа в обслуживании через хешеры паролей¶
Django 1.5.4 вводит ограничение на 4096 байт для паролей, чтобы смягчить атаку «отказ в обслуживании» через отправку фиктивных, но очень больших паролей. В Django 1.5.5 мы отменили это изменение и вместо этого улучшили скорость нашего алгоритма PBKDF2, отказавшись от повторного хэширования ключа на каждой итерации.
Правильная ротация CSRF-токена при входе в систему¶
Это поведение, введенное в качестве меры усиления безопасности в Django 1.5.2, не работало должным образом и теперь исправлено.
Исправления¶
- Исправлена ошибка повреждения данных при использовании
datetime_safe.datetime.combine
(#21256). - Исправлена несовместимость с Python 3 в
django.utils.text.unescape_entities()
(#21185). - Исправлена пара проблем с повреждением данных в крайних случаях
QuerySet
под Oracle и MySQL (#21203, #21126). - Исправлены сбои при использовании комбинаций
annotate()
,select_related()
иonly()
(#16436).
Обратные несовместимые изменения¶
- Недокументированная
django.core.servers.basehttp.WSGIServerException
была удалена. Вместо этого используйтеsocket.error
, предоставляемый стандартной библиотекой.