Django 2.1.2 版本发行说明

2018 年 10 月 1 日

Django 2.1.2 修复了 2.1.1 版本中的一个安全问题和几个错误。同时,还包含了来自 Transifex 的最新字符串翻译。

CVE-2018-16984 : 密码哈希泄露给“只能查看”管理员用户

如果管理员用户具有对用户模型的更改权限,只会显示密码哈希的部分内容在更改表单中。对于具有对用户模型的查看(但不具有更改)权限的管理员用户,会显示完整的哈希。虽然通常无法反向破解强密码哈希,但如果您的网站使用较弱的密码哈希算法,如 MD5 或 SHA1,可能会存在问题。

漏洞修复

  • 修复了一个回归问题,即在 F() 中不存在的连接不再引发 FieldError (#29727)。
  • 修复了一个回归问题,即以波浪符或下划线开头的文件不再被迁移加载程序忽略 (#29749)。
  • 使迁移能够检测到对 Meta.default_related_name 的更改 (#29755)。
  • cx_Oracle 7 添加了兼容性 (#29759)。
  • 修复了 Django 2.0 中的一个回归问题,即唯一索引名称没有被引用 (#29778)。
  • 修复了一个回归问题,在 Oracle 12.1 上,带有相同名称的多列的切片查询会崩溃 (#29630)。
  • 修复了一个问题,当一个具有查看权限但没有更改权限的用户向管理员用户更改表单发出 POST 请求时会崩溃 (#29809)。