Примечания к выпуску Django 3.0.4

4 марта 2020

Django 3.0.4 исправляет проблему безопасности и несколько ошибок в 3.0.3.

CVE-2020-9402: Потенциальная SQL-инъекция через параметр tolerance в функциях и агрегатах GIS на Oracle

Функции и агрегаты ГИС на Oracle были подвержены SQL-инъекции с использованием соответствующим образом составленного tolerance.

Исправления

  • Исправлена возможность потери данных при использовании кэширования из асинхронного кода (#31253).
  • Исправлена регрессия в Django 3.0, из-за которой ответ файла, использующего временный файл, закрывался некорректно (#31240).
  • Исправлена возможность потери данных в select_for_update(). При использовании связанных полей или полей родительской ссылки с Мультитабличное наследование в аргументе of соответствующие модели не блокировались (#31246).
  • Исправлена регрессия в Django 3.0, которая приводила к неправильной расстановке параметров в регистрируемых SQL-запросах на Oracle (#31271).
  • Исправлена регрессия в Django 3.0.3, которая приводила к неправильному расположению параметров SQL-запросов при вычитании выражений DateField или DateTimeField на MySQL (#31312).
  • Исправлена регрессия в Django 3.0, которая не включала подзапросы, охватывающие многозначные отношения, в предложение GROUP BY (#31150).
Вернуться на верх