Примечания к выпуску Django 1.11.10

1 февраля 2018 года

Django 1.11.10 исправляет проблему безопасности и несколько ошибок в 1.11.9.

CVE-2018-6188: Утечка информации в AuthenticationForm

Регрессия в Django 1.11.8 заставляла AuthenticationForm запускать свой метод confirm_login_allowed(), даже если введен неправильный пароль. Это может привести к утечке информации о пользователе, в зависимости от того, какие сообщения выдает confirm_login_allowed(). Если confirm_login_allowed() не переопределен, злоумышленник может ввести произвольное имя пользователя и посмотреть, был ли этот пользователь установлен в is_active=False. Если confirm_login_allowed() переопределено, возможна утечка более конфиденциальной информации.

Эта проблема исправлена с оговоркой, что AuthenticationForm больше не может вызывать ошибку «Этот аккаунт неактивен.», если бэкенд аутентификации отвергает неактивных пользователей (бэкенд аутентификации по умолчанию, ModelBackend, делает это с Django 1.10). Этот вопрос будет рассмотрен в Django 2.1, так как исправление для решения этой проблемы, вероятно, будет слишком инвазивным для включения в старые версии.

Исправления

  • Исправлено некорректное обнуление внешнего ключа, если модель имеет два внешних ключа к одной модели, а целевая модель удалена (#29016).
  • Исправлена регрессия, при которой contrib.auth.authenticate() аварийно завершалась, если бэкенд аутентификации не принимал request, а последующий принимал (#29071).
  • Исправлено падение при вводе недопустимого uuid в ModelAdmin.raw_id_fields (#29094).
Вернуться на верх