Примечания к выпуску Django 2.1.5

4 января 2019

Django 2.1.5 исправляет проблему безопасности и несколько ошибок в 2.1.4.

CVE-2019-3498: Возможность подмены содержимого на странице 404 по умолчанию

Злоумышленник может создать вредоносный URL, который может заставить поддельное содержимое появиться на странице по умолчанию, генерируемой представлением django.views.defaults.page_not_found().

Путь URL больше не отображается в шаблоне 404 по умолчанию, а контекстная переменная request_path теперь заключена в кавычки, чтобы исправить проблему для пользовательских шаблонов, использующих путь.

Исправления

  • Исправлена совместимость с mysqlclient 1.3.14 (#30013).
  • Исправлена проблема повреждения схемы на SQLite 3.26+. Вам может потребоваться сбросить и заново создать базу данных SQLite, если вы применили миграцию при использовании старой версии Django с SQLite 3.26 или более поздней (#29182).
  • Предотвращение изменений схемы SQLite при включенных проверках внешних ключей для предотвращения возможности повреждения схемы (#30023).
  • Исправлена регрессия в Django 2.1.4 (которая включала соединения keep-alive), когда данные тела запроса не потреблялись должным образом для таких соединений (#30015).
  • Исправлена регрессия в Django 2.1.4, когда InlineModelAdmin.has_change_permission() некорректно вызывался с не``None`` obj аргументом во время добавления объекта (#30050).
Вернуться на верх