CVE-2021-45115: возможность отказа в обслуживании в UserAttributeSimilarityValidator.¶

UserAttributeSimilarityValidator повлек за собой значительные накладные расходы при оценке отправленного пароля, который был искусственно большим по сравнению со значениями сравнения. Если предположить, что доступ к регистрации пользователей не ограничен, это создает потенциальный вектор для атаки типа «отказ в обслуживании».

Чтобы смягчить эту проблему, относительно длинные значения теперь игнорируются UserAttributeSimilarityValidator.

Эта проблема имеет уровень серьезности «средний» в соответствии с политикой безопасности Django.

CVE-2021-45116: потенциальное раскрытие информации в фильтре шаблонов dictsort.¶

Из-за использования логики переменного разрешения языка шаблонов Django фильтр шаблонов dictsort был потенциально уязвим для раскрытия информации или непреднамеренных вызовов методов, если ему передавался специально созданный ключ.

Чтобы избежать такой возможности, dictsort теперь работает с логикой ограниченного разрешения, которая не вызывает методы и не позволяет индексировать словари.

Напоминаем, что все ненадежные пользовательские данные должны быть проверены перед использованием.

Эта проблема имеет низкий уровень серьезности в соответствии с политикой безопасности Django.

CVE-2021-45452: Потенциальный обход каталога с помощью Storage.save().¶

Storage.save() разрешал обход каталогов, если напрямую передавались специально созданные имена файлов.

Эта проблема имеет низкий уровень серьезности в соответствии с политикой безопасности Django.

Исправления¶

• Исправлена ​​регрессия в Django 4.0, приводившая к сбою AssertFormsetError() в наборе форм с именем form (#33346).

• Исправлена ​​ошибка в Django 4.0, приводившая к сбою при работе с логическими значениями в бэкэнде RedisCache (#33361).

• Ослаблена проверка, добавленная в Django 4.0, чтобы разрешить использование утиного типа HttpRequest в декораторах django.views.decorators.cache.cache_control() и never_cache() (#33350).

• Исправлена ​​регрессия в Django 4.0, приводившая к созданию фиктивных миграций для моделей, ссылающихся на заменяемые модели, такие как auth.User (#33366).

• Исправлена ​​давняя ошибка в Коллекции геометрии и Polygon, которая приводила к сбою на некоторых платформах (сообщается о macOS на основе архитектуры ARM64) (#32600).