Примечания к выпуску Django 1.4.8

Сентябрь 14, 2013

Django 1.4.8 исправляет две проблемы безопасности, присутствовавшие в предыдущих выпусках Django серии 1.4.

Отказ в обслуживании с помощью хешеров паролей

В предыдущих версиях Django не было ограничений на длину пароля в открытом тексте. Это позволяло проводить атаки типа «отказ в обслуживании» через отправку фальшивых, но очень больших паролей, задействуя ресурсы сервера для вычисления соответствующего хэша (дорогого и все более дорогого с ростом длины пароля).

Начиная с версии 1.4.8, система аутентификации Django устанавливает ограничение в 4096 байт для паролей и не пройдет аутентификацию с любым паролем большей длины.

Исправлено использование sensitive_post_parameters() в админке django.contrib.auth

При декорировании представлений администратора пользователя add_view и user_change_password с помощью sensitive_post_parameters() не было включено method_decorator() (необходимо, поскольку представления являются методами), что приводило к неправильному применению декоратора. Это использование было исправлено, и sensitive_post_parameters() теперь будет выбрасывать исключение при неправильном использовании.

Вернуться на верх