В соответствии с политикой выпуска безопасности , команда Django выпускает Django 3.1.7 , Django 3.0.13 и Django 2.2.19 . В этом выпуске устранена проблема безопасности, описанная ниже. Мы рекомендуем всем пользователям Django как можно скорее выполнить обновление.
django.utils.http.limited_parse_qsl()
Django содержит копию urllib.parse.parse_qsl()
, которая была добавлена для резервного копирования некоторых исправлений безопасности. Недавно было выпущено еще одно исправление безопасности, так что parse_qsl()
больше не позволяет использовать ;
как разделитель параметров запроса по умолчанию. Django теперь включает это исправление. См. Bpo-42967 для получения дополнительной информации.
Согласно политике безопасности Django, проблема средней степени серьезности.
Исправления для решения этой проблемы были применены к веткам выпуска 3.2, 3.1, 3.0 и 2.2. Патчи могут быть получены из следующих наборов изменений:
Выпущены следующие релизы:
Идентификатор ключа PGP, используемый для этих выпусков, - Карлтон Гибсон: E17DF5C82B4F9D00 .
Бета-версия Django 3.2 будет выпущена сегодня в отдельном сообщении в блоге.
Как всегда, мы просим сообщать о потенциальных проблемах безопасности по электронной почте security@djangoproject.com , а не через экземпляр Trac Django или список разработчиков django. Пожалуйста, ознакомьтесь с политикой безопасности для получения дополнительной информации.