Примечания к выпуску Django 2.0.10

4 января 2019

Django 2.0.10 исправляет проблему безопасности и несколько ошибок в 2.0.9.

CVE-2019-3498: Возможность подмены содержимого на странице 404 по умолчанию

Злоумышленник может создать вредоносный URL, который может заставить поддельное содержимое появиться на странице по умолчанию, генерируемой представлением django.views.defaults.page_not_found().

Путь URL больше не отображается в шаблоне 404 по умолчанию, а контекстная переменная request_path теперь заключена в кавычки, чтобы исправить проблему для пользовательских шаблонов, использующих путь.

Исправления

  • Предотвращение повторных вызовов geos_version_tuple() в классе WKBWriter в попытке исправить случайный сбой, связанный с LooseVersion, начиная с Django 2.0.6 (#29959).
  • Исправлена проблема повреждения схемы на SQLite 3.26+. Вам может потребоваться сбросить и заново создать базу данных SQLite, если вы применили миграцию при использовании старой версии Django с SQLite 3.26 или более поздней (#29182).
  • Предотвращение изменений схемы SQLite при включенных проверках внешних ключей для предотвращения возможности повреждения схемы (#30023).
Вернуться на верх