Django 2.1.6 版本发行说明
2019 年 2 月 11 日
Django 2.1.6 修复了 2.1.5 版本中的一个安全问题和一个错误。
CVE-2019-6975: django.utils.numberformat.format()
中的内存耗尽问题。
如果 django.utils.numberformat.format()
— 被 contrib.admin
以及 floatformat
、filesizeformat
和 intcomma
模板过滤器使用 — 收到具有大量数字或大指数的 Decimal
,它可能会导致由于调用 '{:f}'.format()
而导致显著的内存使用。
为避免这种情况,现在使用科学记数法格式化超过 200 位数的小数。
漏洞修复
- 使
InlineModelAdmin.has_add_permission()
的obj
参数变为可选,以恢复与不提供该参数的第三方代码的向后兼容性 (#30097)。