Django 4.2.7发行说明

November 1, 2023

Django 4.2.7修复了一个严重程度为“中等”的安全问题和4.2.6中的几个错误。

CVE-2023-46695:中潜在的拒绝服务漏洞 UsernameField 在Windows上

这个 NFKC normalization 在Windows上运行速度很慢。因此, django.contrib.auth.forms.UsernameField 通过具有大量Unicode字符的某些输入受到潜在的拒绝服务攻击。

为了避免该漏洞,无效值的长度超过 UsernameField.max_length 不再规范化,因为它们无论如何都无法通过验证。

补补

  • 修复了Django 4.2中导致崩溃的回归 QuerySet.aggregate() 使用引用包含子查询的表达式的聚合 (#34798 )。

  • 已恢复,在Django 4.2中进行回归后,创建 varchar/text_pattern_ops 索引位于 CharFieldTextField 在PostgreSQL上使用确定性归类 (#34932 )。

« previous | up | next »