Catatan terbitan Django 1.11.5

5 September 2017

Django 1.11.5 memperbaiki masalah keamanan dan beberapa kesalahan di 1.11.4.

CVE-2017-12794: Kemungkinan XSS dalam melacak kembali bagian dari halaman teknis mencari kesalahan 500

Dalam versi terlama, pelolosan otomatis HTML ditiadakan dalam bagian dari cetakan untuk halaman teknis mencari kesalahan 500. Memberikan keadaan benar, ini mengizinkan serangan cross-site scripting. Kerentanan ini tidak harus mempengaruhi kebanyakan situs-situs produksi sejak anda tidak harus menjalankan dengan DEBUG = True (yang membuat halaman ini dapat diakses) dalam pengaturan produksi anda.

Perbaikan kesalahan

  • Diperbaiki penguraian versi GEOS jika versi mempunyai campuran commit pada akhir (baru di GEOS 3.6.2) (#28441).
  • Ditambahkan kesesuaian untuk cx_Oracle 6 (#28498).
  • Diperbaiki pemilihan membangun widget ketika nilai ilihan adalah tuple (#28502).
  • Django 1.11 inadvertently changed the sequence and trigger naming scheme on Oracle. This causes errors on INSERTs for some tables if 'use_returning_into': False is in the OPTIONS part of DATABASES. The pre-1.11 naming scheme is now restored. Unfortunately, it necessarily requires an update to Oracle tables created with Django 1.11.[1-4]. Use the upgrade script in #28451 comment 8 to update sequence and trigger names to use the pre-1.11 naming scheme.
  • Ditambahkan dukungan permintaan POST pada LogoutView, untuk kesetaraan dengan tampilan logout() berdasarkan-fungsi (#28513).
  • Omitted pages_per_range from BrinIndex.deconstruct() if it's None (#25809).
  • Fixed a regression where SelectDateWidget localized the years in the select box (#28530).
  • Fixed a regression in 1.11.4 where runserver crashed with non-Unicode system encodings on Python 2 + Windows (#28487).
  • Fixed a regression in Django 1.10 where changes to a ManyToManyField weren't logged in the admin change history (#27998) and prevented ManyToManyField initial data in model forms from being affected by subsequent model changes (#28543).
  • Fixed non-deterministic results or an AssertionError crash in some queries with multiple joins (#26522).
  • Fixed a regression in contrib.auth's login() and logout() views where they ignored positional arguments (#28550).
« previous | up | next »