Примечания к выпуску Django 4.1.6

1 февраля 2023 г.

В Django 4.1.6 исправлена проблема безопасности со степенью серьезности «умеренная» и ошибка в версии 4.1.5.

CVE-2023-23969: Потенциальный отказ в обслуживании через заголовки Accept-Language

Разобранные значения заголовков Accept-Language кэшируются, чтобы избежать повторного разбора. Это приводит к потенциальному вектору отказа в обслуживании из-за чрезмерного использования памяти при отправке больших значений заголовков.

Для того чтобы избежать этой уязвимости, заголовок Accept-Language теперь разбирается до максимальной длины.

Исправления

  • В Django 4.1 исправлена ошибка, приводившая к аварийному завершению проверки модели на UniqueConstraint с упорядоченными выражениями (#34291).
Вернуться на верх