Отказ в обслуживании через парольные хеши¶

Django 1.5.4 налагает ограничение на пароли в 4096 байт, чтобы смягчить атаку типа «отказ в обслуживании» путем предоставления поддельных, но чрезвычайно больших паролей. В Django 1.5.5 мы отменили это изменение и вместо этого улучшили скорость нашего алгоритма PBKDF2, не перефразируя ключ на каждой итерации.

Правильная ротация токена CSRF при входе в систему¶

Такое поведение, введенное в качестве меры по усилению безопасности в Django 1.5.2, не работало должным образом и теперь исправлено.

Исправления¶

• Исправлена ошибка повреждения данных из-за datetime_safe.datetime.combine (#21256).

• Исправлена ​​несовместимость с Python 3 в django.utils.text.unescape_entities() (#21185).

• Исправлено несколько проблем с повреждением данных в крайних случаях QuerySet в Oracle и MySQL (#21203, #21126).

• Исправлены сбои при использовании комбинаций annotate(), select_related() и only() (#16436).

Нарушение обратной совместимости¶

• Недокументированное исключение django.core.servers.basehttp.WSGIServerException было удалено. Вместо этого используйте socket.error, предоставляемый стандартной библиотекой.