2015年8月18日
Django 1.4.22在1.4.21中修复了一个安全问题。
它还通过禁用车轮支架,用PIP7+固定支架。旧版本的1.4在安装这些版本的PIP时,会自动生成一个损坏的轮子。
logout() 通过填充会话存储查看¶以前,当匿名访问 django.contrib.auth.views.logout() 视图(前提是没有装饰 login_required() 如管理员所做)。这可能允许攻击者通过发送重复请求轻松创建许多新的会话记录,可能会填满会话存储或导致其他用户的会话记录被收回。
这个 SessionMiddleware 已修改为不再创建空会话记录,包括 SESSION_SAVE_EVERY_REQUEST 是活跃的。
另外, contrib.sessions.backends.base.SessionBase.flush() 和 cache_db.SessionStore.flush() 方法已被修改,以避免创建新的空会话。第三方会话后端的维护人员应检查后端中是否存在相同的漏洞,如果存在,则进行更正。
7月 22, 2024