Django 2.0.8 版本发行说明

2018 年 8 月 1 日

Django 2.0.8 修复了 2.0.7 版本中的一个安全问题和一些错误。

CVE-2018-14574: CommonMiddleware 中存在开放重定向漏洞的可能性。

如果同时启用了 CommonMiddlewareAPPEND_SLASH 设置,并且项目具有接受以斜杠结尾的任何路径的 URL 模式(许多内容管理系统都有这样的模式),那么对站点的恶意构造的 URL 的请求可能会导致重定向到另一个站点,从而可能启用钓鱼和其他攻击。

现在,CommonMiddleware 对于防止重定向到其他域的情况会转义开头的斜杠。

漏洞修复

  • 已修复 Django 2.0.7 中的回归问题,该问题破坏了对 MariaDB 上的 regex 查找(尽管 MariaDB 并未得到官方支持)(#29544)。
  • 已修复回归问题,其中如果 template_string 参数是懒惰的,则 django.template.Template 会崩溃(#29617)。