Примечания к выпуску Django 2.0.8

1 августа 2018

Django 2.0.8 исправляет проблему безопасности и несколько ошибок в 2.0.7.

CVE-2018-14574: Возможность открытого перенаправления в CommonMiddleware

Если параметры CommonMiddleware и APPEND_SLASH включены, и если проект имеет шаблон URL, который принимает любой путь, заканчивающийся косой чертой (многие системы управления контентом имеют такой шаблон), то запрос на злонамеренно созданный URL этого сайта может привести к перенаправлению на другой сайт, что сделает возможным фишинговые и другие атаки.

CommonMiddleware теперь экранирует ведущие слэши для предотвращения перенаправления на другие домены.

Исправления

  • Исправлена ошибка в Django 2.0.7, которая нарушала поиск regex на MariaDB (хотя MariaDB официально не поддерживается) (#29544).
  • Исправлена регрессия, при которой django.template.Template аварийно завершалась, если аргумент template_string был ленивым (#29617).
Вернуться на верх