Отказ в обслуживании через парольные хеши.¶

В предыдущих версиях Django не было никаких ограничений на длину пароля. Это позволяло организовать атаку типа отказ в обслуживании путем подачи фиктивных, но чрезвычайно больших паролей, занимая ресурсы сервера, выполняющих (дорогой, и все более дорогие с увеличением длины пароля) расчеты соответствующего хеша.

Начиная с версии 1.5.4, структура аутентификации Django накладывает ограничение на пароли в 4096 байт и не сможет выполнить аутентификацию с любым отправленным паролем большей длины.

Правильное использование sensitive_post_parameters() в django.contrib.auth¶

Декорирование add_view и user_change_password в панели администратора с помощью sensitive_post_parameters() не включало в себя вызов method_decorator(), который требуется для методов представлений. В итоге первоначальный декоратор применялся неверно. Такое поведение исправлено, и теперь в случае неправильного использования происходит исключение.

Исправления¶

• Исправлена ​​ошибка, из-за которой набор QuerySet, использующий prefetch_reled(), не мог быть маринован и распакован более одного раза (вторая попытка маринования вызвала исключение) (#21102).