1 listopada 2016
Django 1.10.3 naprawia dwa problemy bezpieczeństwa i kilka błędów z wydania 1.10.2.
Podczas uruchamiania testów z bazą danych Oracle, Django tworzy tymczasowego użytkownika bazy danych. W starszych wersjach, jeśli hasło nie zostało podane ręcznie w słowniku TEST ustawień bazy danych, używane jest hasło zahard-code’owane. To mogło pozwalać atakującemu z dostępem sieciowym do serwera bazy danych na połączenie.
Ten użytkownik jest zazwyczaj usuwany po tym, jak zestaw testów skończy się wykonywać, lecz nie gdy używa się opcji manage.py test --keepdb lub kiedy użytkownik ma aktywną sesję (taką jak połączenie atakującego).
Losowo generowane hasło jest teraz używane przy każdym uruchomieniu testu.
DEBUG=True¶Older versions of Django don’t validate the Host header against
settings.ALLOWED_HOSTS when settings.DEBUG=True. This makes them
vulnerable to a DNS rebinding attack.
Jako że Django nie dostarcza modułu, który zezwala na zdalne wykonywanie kodu, jest to co najmniej wektor cross-site scriptingu, który może być całkiem poważny, jeśli deweloperzy ładują kopię produkcyjnej bazy danych w dewelopmencie lub łączą się do jakiś produkcyjnych usług, które na przykład nie mają deweloperskich instancji. Jeśli projekt używa pakietu takiego jak django-debug-toolbar, wtedy atakujący mógł wykonać własny SQL, który mógł być szczególnie zły, jeśli deweloperzy łączą się do bazy danych kontem superusera.
settings.ALLOWED_HOSTS jest teraz walidowane bez względu na DEBUG. Dla wygody, jeśli ALLOWED_HOSTS jest puste i DEBUG=True, następujące wariacje localhosta są dopuszczone ['localhost', '127.0.0.1', '::1']. Jeśli twoje lokalne ustawienia mają twoją produkcyjną wartość ALLOWED_HOSTS, musisz teraz ją ominąć, aby uzyskać wypisane wartości fallback.
User.is_authenticated i User.is_anonymous w obiektach klasy set (#27309).migrate w projektach z operacjami RenameModel (#27279).model_name do wywołań allow_migrate() w makemigrations (#27200).JavaScriptCatalog bierze pod uwagę argument packages; wcześniej go ignorował (#27374).QuerySet.bulk_create() dla PostgreSQL-a, kiedy liczba obiektów jest o jeden większa od batch_size (#27385).i18n_patterns() zbyt dużej ilości URL-a jako języka, aby naprawić przypadek użycia dla prefix_default_language=False (#27063).SessionMiddleware, kiedy sesja jest niszczona we współbieżnym żądaniu, przez SuspiciousOperation, aby sygnalizować, że żądanie nie może być ukończone (#27363).sie 03, 2022