Примечания к выпуску Django 2.1.2

Октябрь 1, 2018

Django 2.1.2 исправляет проблему безопасности и несколько ошибок в 2.1.1. Также включены последние переводы строк от Transifex.

CVE-2018-16984: Раскрытие хэша пароля для административных пользователей «только для просмотра»

Если администратор имеет право изменять модель пользователя, то в форме изменения отображается только часть хэша пароля. Пользователи-администраторы с правом просмотра (но не изменения) модели пользователя отображали весь хэш. Хотя обычно невозможно отменить хэш сильного пароля, если на вашем сайте используются более слабые алгоритмы хэширования паролей, такие как MD5 или SHA1, это может стать проблемой.

Исправления

  • Исправлена регрессия, при которой несуществующие соединения в F() больше не вызывали ошибку FieldError (#29727).
  • Исправлена ошибка, при которой файлы, начинающиеся с тильды или подчеркивания, не игнорировались загрузчиком миграций (#29749).
  • Миграции стали обнаруживать изменения в Meta.default_related_name (#29755).
  • Добавлена совместимость с cx_Oracle 7 (#29759).
  • Исправлена ошибка в Django 2.0, когда имена уникальных индексов не заключались в кавычки (#29778).
  • Исправлена регрессия, при которой на Oracle 12.1 (#29630) происходило аварийное завершение нарезанных запросов с несколькими столбцами с одинаковыми именами.
  • Исправлена ошибка, когда пользователь с правом просмотра (но не изменения) делал POST-запрос к форме изменения пользователя администратора (#29809).
Вернуться на верх