Django 1.8.3 版本发行说明

2015 年 7 月 8 日

Django 1.8.3 修复了 1.8.2 中的几个安全问题和错误。

此外,django.utils.deprecation.RemovedInDjango20Warning 已被重命名为 RemovedInDjango110Warning,因为版本规划已经修订为 1.9、1.10、1.11(LTS)、2.0(不再支持 Python 2)。为了向后兼容,RemovedInDjango20Warning 仍然可以作为可导入的别名使用。

通过填充会话存储可能导致拒绝服务攻击。

在以前版本的 Django 中,会话后端在访问 request.session 时,如果请求的 cookies 中提供了一个没有会话记录的会话键,就会创建一个新的空记录在会话存储中。这可能允许攻击者通过发送带有未知会话键的重复请求来轻松创建许多新的会话记录,潜在地填满会话存储或导致其他用户的会话记录被逐出。

内置的会话后端现在仅在会话实际修改时创建会话记录;不会创建空的会话记录。因此,只有在网站选择向匿名用户公开会话修改视图时,才可能发生这种潜在的 DoS 攻击。

由于每个内置会话后端都是单独修复的(而不是在核心会话框架中进行修复),第三方会话后端的维护者应检查他们的后端是否存在相同的漏洞,并在存在的情况下进行修正。

由于验证器接受换行符输入,可能导致头部注入。

Django 的一些内置验证器(尤其是 EmailValidator)没有禁止换行字符(因为正则表达式中使用了 $ 而不是 \Z)。如果在 HTTP 响应或电子邮件头中使用带有换行符的值,可能会受到头部注入攻击的影响。Django 本身不会受到影响,因为 HttpResponsedjango.core.mail 中的邮件发送工具在 HTTP 和 SMTP 头部中分别禁止了换行符。尽管验证器已经在 Django 中修复,但如果以其他方式创建 HTTP 响应或电子邮件消息,最好确保这些方法也禁止换行符。您还可以验证应用程序中的任何现有数据是否包含意外的换行符。

validate_ipv4_address()validate_slug()URLValidator 也受到影响,但从 Django 1.6 开始,使用这些验证器的 GenericIPAddresseFieldIPAddressFieldSlugFieldURLField 表单字段都会剥离输入,因此只有在在表单字段之外使用这些验证器时才存在新行进入数据的可能性。

未记录的、内部未使用的 validate_integer() 函数现在更加严格,因为它使用正则表达式进行验证,而不仅仅是使用 int() 强制转换值并检查是否引发了异常。

URL 验证中的拒绝服务漏洞可能性。

URLValidator 包含一个对某些无效输入极其缓慢的正则表达式进行评估的问题。现在已简化和优化了这个正则表达式。

漏洞修复

  • 修复了 BaseRangeField.prepare_value() 以使用每个 base_fieldprepare_value() 方法 (#24841)。
  • 修复了在执行 makemigrations 时出现的崩溃问题,如果迁移模块缺少 __init__.py 或是一个文件 (#24848)。
  • 修复了在使用 Count() 注释后,QuerySet.exists() 返回不正确的结果 (#24835)。
  • 修正了 HStoreField.has_changed() (#24844)。
  • 撤销了 CSRF 模板上下文处理器的优化,因为它导致了一个回归问题 (#24836)。
  • 修复了一个导致模板上下文处理器在 RequestContext 创建后覆盖设置的变量的回归问题 (#24847)。
  • 在重命名 MySQL 数据库字段时防止了丢失 null/not null 列属性(#24817)。
  • 修复了在 ModelAdmin.list_display 中使用反向一对一关系时发生崩溃的问题 (#24851)。
  • 修复了在 PostgreSQL 中将字段重命名为 AutoField 时 SQL 引用的问题 (#24892)。
  • 修复了从 primary_key=True 更改字段为 unique=True 时缺少唯一约束的问题 (#24893)。
  • 修复了在删除对象后使用 prefetch_related() 时的查询集 pickling 问题 (#24831)。
  • 允许在 DurationField 中使用长于 1 天的 choices (#24897)。
  • 修复了在加载两个具有依赖关系的应用程序的压缩迁移时发生崩溃的问题,在这种情况下,受依赖应用程序替换的迁移部分被应用 (#24895)。
  • 修复了对已应用状态的压缩(替代)迁移的记录问题 (#24628)。
  • 修复了在使用 Case 表达式与 exclude() 时的查询集注释问题 (#24833)。
  • 修正了多个 Case 表达式的联接升级。在查询中使用多个 Case 表达式进行注释可能会意外地过滤掉结果 (#24924)。
  • 修复了在子查询中使用 transforms 的问题 (#24744)。
  • 修复了在 Python 2.7.10 上的 SimpleTestCase.assertRaisesMessage()#24903)。
  • 通过将 optparse 管理命令中的 verbosity 参数转换为整数,提供了更好的向后兼容性 (#24769)。
  • 修复了在使用 UUID 主键的模型上,除了 PostgreSQL 数据库外的其他数据库上的 prefetch_related() 问题 (#24912)。
  • 修复了在 MySQL 上删除 unique_together 约束的问题 (#24972)。
  • 修复了在 forms.ImageField 中上传 Pillow 无法检测到的 MIME 类型的图像时的崩溃问题,例如位图 (#24948)。
  • 修复了通过管理员删除具有 related_query_nameGenericRelation 的模型时发生的回归问题 (#24940)。
  • 通过修复虚假的系统检查,重新允许在 Python 3 上使用非 ASCII 值的 ForeignKey.related_name (#25016)。
  • 修复了使用具有 UUIDField 主键的父对象和具有 AutoField 主键的子对象的内联表单的问题 (#24958)。
  • 修复了在某些输入上 unordered_list 模板过滤器中的回归问题 (#25031)。
  • 修复了 URLValidator 中的回归问题,该问题使 Punycode TLD 无效 (#25059)。
  • 改进了 pyinotifyrunserver 中的轮询功能 (#23882)。