Django 4.1.6发行说明

February 1, 2023

Django 4.1.6修复了一个严重程度为“中等”的安全问题和4.1.5中的一个错误。

CVE-2023-23969:潜在的拒绝服务通过 Accept-Language 标题

的解析值 Accept-Language 报头被缓存,以避免重复解析。如果发送较大的标头值,这会通过过度使用内存来导致潜在的拒绝服务向量。

为了避免此漏洞, Accept-Language 报头现在被解析到最大长度。

补补

  • 修复了Django 4.1中导致模型验证崩溃的错误 UniqueConstraint 使用有序表达式 (#34291 )。

« previous | up | next »