Примечания к выпуску Django 4.2.7¶
1 ноября 2023 г.
В Django 4.2.7 исправлена проблема безопасности с уровнем серьезности «средний» и несколько ошибок в версии 4.2.6.
CVE-2023-46695: потенциальная уязвимость отказа в обслуживании в UsernameField в Windows.¶
Нормализация NFKC работает медленно в Windows. Как следствие, django.contrib.auth.forms.UsernameField подвергался потенциальной атаке типа «отказ в обслуживании» через определенные входные данные с очень большим количеством символов Юникода.
Чтобы избежать уязвимости, недопустимые значения, превышающие UsernameField.max_length, больше не нормализуются, поскольку они все равно не могут пройти проверку.
Исправления¶
Исправлена регрессия в Django 4.2, приводившая к сбою QuerySet.aggregate(), когда агрегаты ссылались на выражения, содержащие подзапросы (#34798).
Восстановлено после регресса в Django 4.2, создающего индексы varchar/text_pattern_ops для CharField и TextField с детерминированными правилами сортировки в PostgreSQL (:ticket:34932).