CVE-2020-24583: неправильные разрешения для каталогов промежуточного уровня в Python 3.7+.¶

В Python 3.7+ режим FILE_UPLOAD_DIRECTORY_PERMISSIONS не применялся к каталогам промежуточного уровня, созданным в процессе загрузки файлов, и к собранным статическим каталогам промежуточного уровня при использовании команды управления collectstatic.

Вам следует просмотреть и вручную исправить разрешения для существующих каталогов промежуточного уровня.

CVE-2020-24584: Повышение разрешений в каталогах промежуточного уровня кэша файловой системы на Python 3.7+.¶

В Python 3.7+ каталоги промежуточного уровня кэша файловой системы имели стандартную umask системы, а не 0o077 (без групповых или других разрешений).

Исправления¶

• Исправлена ​​возможность потери данных в select_for_update(). При использовании связанных полей, указывающих на прокси-модель в аргументе of, соответствующая модель не блокировалась (#31866).

• Исправлена ​​возможность потери данных после регрессии в Django 2.0 при копировании экземпляров модели со значением кэшированных полей (#31863).