Django 4.1.2 版本发行说明

2022 年 10 月 4 日

Django 4.1.2 修复了一个”中等”严重性的安全问题,以及 4.1.1 版本中的几个错误。

CVE-2022-41323 :国际化 URL 中存在潜在的拒绝服务漏洞。

国际化 URL 可能通过 locale 参数受到拒绝服务攻击的威胁。

漏洞修复

  • 在 Django 4.1 中修复了一个问题,导致在 PostgreSQL 上添加带有 ExclusionConstraint 的模型时迁移崩溃的回归问题(#33982)。
  • 在 Django 4.1 中修复了一个问题,导致对包含 Exists 注释的查询集进行聚合时,由于选择的列过多而崩溃的回归问题(#33992)。
  • 在 Django 4.1 中修复了一个问题,导致对 NULL 值的 CheckConstraint 验证不正确的错误(#33996)。
  • 在 Django 4.1 中修复了一个问题,导致在 ArrayAgg()JSONBAgg() 上使用 QuerySet.values()/values_list() 时崩溃的回归问题(#34016)。
  • 在 Django 4.1 中修复了一个问题,导致在通过弹出窗口添加/更改相关实例后,ModelAdmin.autocomplete_fields 被不正确选择的错误(#34025)。
  • 在 Django 4.1 中修复了一个问题,在使用 multiprocessing 启动方法 spawn 运行并行测试时,应用程序注册表未填充的回归问题(#34010)。
  • 在 Django 4.1 中修复了一个问题,在使用 multiprocessing 启动方法 spawn 运行并行测试时,test 命令的 --debug-mode 参数无法工作的回归问题(#34010)。
  • 在 Django 4.1 中修复了一个问题,当在 PostgreSQL 上更改预先在 Django 4.1 之前创建的序列列的类型时,未更改序列类型的回归问题(#34058)。
  • 在 Django 4.1 中修复了一个问题,当处理不允许的 HTTP 方法时,使用异步处理程序的 View 子类崩溃的回归问题(#34062)。
  • 已回退了与 ForeignKeyManyToManyFieldGenericRelation 相关的缓存管理器,这导致相关对象的不正确刷新(#33984)。
  • 对 Django 4.1 中添加的系统检查进行了放宽,用于同一名称用于多个模板标签模块的情况,现在是一个警告(#32987)。