Примечания к выпуску Django 3.2.4¶

CVE-2021-33203: потенциальный обход каталога через admindocs¶

Сотрудники могли использовать представление admindocs TemplateDetailView для проверки существования произвольных файлов. Кроме того, если (и только если) стандартные шаблоны admindocs были настроены разработчиками так, чтобы раскрывать содержимое файлов, то раскрывалось не только существование, но и содержимое файлов.

В качестве смягчения теперь применяется санация путей, и загружаются только файлы в корневых каталогах шаблонов.

CVE-2021-33571: Возможные неопределенные атаки SSRF, RFI и LFI, поскольку валидаторы принимали ведущие нули в адресах IPv4¶

URLValidator, validate_ipv4_address() и validate_ipv46_address() не запрещали ведущие нули в восьмеричных литералах. Если вы использовали такие значения, вы могли пострадать от неопределенных атак SSRF, RFI и LFI.

Валидаторы validate_ipv4_address() и validate_ipv46_address() не были затронуты на Python 3.9.5+.

Исправления¶

• Исправлена ошибка в Django 3.2, когда конечное представление catch-all в админке не соблюдало предоставленное сервером значение SCRIPT_NAME при перенаправлении неаутентифицированных пользователей на страницу входа (#32754).
• Исправлена ошибка в Django 3.2, когда системная проверка аварийно завершалась на абстрактной модели (#32733).
• Предотвращена ненужная инициализация неиспользуемых кэшей после регрессии в Django 3.2 (#32747).
• Исправлен сбой в Django 3.2, который мог произойти при запуске mod_wsgi с рекомендуемыми настройками, когда была установлена библиотека Windows colorama (#32740).
• Исправлена ошибка в Django 3.2, которая приводила к срабатыванию автозагрузки при изменении шаблона, когда пути к каталогам были указаны строками (#32744).
• Исправлена регрессия в Django 3.2, которая приводила к сбою автозагрузки с AttributeError, например, внутри окружения Conda (#32783).
• Исправлена регрессия в Django 3.2, которая приводила к потере точности для операций с DecimalField на MySQL (#32793).