Примечания к выпуску Django 3.1.7

19 февраля 2021 года

Django 3.1.7 исправляет проблему безопасности и ошибку в версии 3.1.6.

CVE-2021-23336: отравление веб-кэша через django.utils.http.limited_parse_qsl()

Django содержит копию urllib.parse.parse_qsl(), которая была добавлена для обратного переноса некоторых исправлений безопасности. Недавно было выпущено еще одно исправление безопасности, согласно которому parse_qsl() больше не позволяет использовать ; в качестве разделителя параметров запроса по умолчанию. Django теперь включает это исправление. Смотрите bpo-42967 для более подробной информации.

Исправления

  • Исправлена регрессия в Django 3.1, которая вызывала RuntimeError вместо ошибок подключения при использовании только базы данных 'postgres' (#32403).
Вернуться на верх