Примечания к выпуску Django 4.2.7¶
1 ноября 2023
В Django 4.2.7 исправлена проблема безопасности со степенью серьезности «умеренная» и несколько ошибок в 4.2.6.
CVE-2023-46695: Потенциальная уязвимость отказа в обслуживании в UsernameField на Windows¶
NFKC normalization медленно работает в Windows. Как следствие, django.contrib.auth.forms.UsernameField был подвержен потенциальной атаке типа «отказ в обслуживании» через определенные входы с очень большим количеством символов Юникода.
Чтобы избежать уязвимости, недействительные значения длиннее UsernameField.max_length больше не нормализуются, поскольку они все равно не могут пройти проверку.
Исправления¶
- Исправлена регрессия в Django 4.2, которая приводила к сбою
QuerySet.aggregate()с агрегатами, ссылающимися на выражения, содержащие подзапросы (#34798). - Восстановлено, после регрессии в Django 4.2, создание индексов
varchar/text_pattern_opsнаCharFieldиTextFieldс детерминированными колациями на PostgreSQL (#34932).