Django 2.1.5 版本发行说明

2019 年 1 月 4 日

Django 2.1.5 修复了 2.1.4 版本中的一个安全问题和一些错误。

CVE- 2019-3498 :默认 404 页面中的内容欺骗可能性

攻击者可以构造恶意 URL,使伪造的内容出现在由 django.views.defaults.page_not_found() 视图生成的默认页面上。

默认的 404 模板中不再显示 URL 路径,并且 request_path 上下文变量现在被引用起来,以解决使用路径的自定义模板的问题。

漏洞修复

  • 修复了与 mysqlclient 1.3.14 的兼容性问题 (#30013)。
  • 已修复在 SQLite 3.26+ 上的模式损坏问题。如果在使用旧版本的 Django 与 SQLite 3.26 或更高版本时应用了迁移,可能需要删除并重建您的 SQLite 数据库(#29182)。
  • 防止在启用外键检查时进行 SQLite 模式更改,以避免可能导致模式损坏的情况发生(#30023)。
  • 修复了 Django 2.1.4 中的一个回归问题(启用了 keep-alive 连接),在这种连接中未正确消耗请求体数据的问题 (#30015)。
  • 修复了 Django 2.1.4 中的一个回归问题,在对象添加过程中,错误地使用非 None 的 obj 参数调用了 InlineModelAdmin.has_change_permission() (#30050)。