CVE-2018-16984: раскрытие хеша пароля пользователям с правами администратора «только для просмотра».¶

Если у пользователя-администратора есть разрешение на изменение модели пользователя, в форме изменения отображается только часть хэша пароля. Пользователям-администраторам с разрешением на просмотр (но не изменение) модели пользователя отображался весь хэш. Хотя обычно невозможно отменить надежный хэш пароля, если на вашем сайте используются более слабые алгоритмы хеширования паролей, такие как MD5 или SHA1, это может стать проблемой.

Исправления¶

• Исправлена ​​регрессия, при которой несуществующие соединения в F() больше не вызывали FieldError (#29727).

• Исправлена ​​регрессионная ошибка, из-за которой файлы, начинающиеся с тильды или подчеркивания, не игнорировались загрузчиком миграций (#29749).

• Выполненные миграции обнаруживают изменения в Meta.default_related_name (#29755).

• Добавлена ​​совместимость с cx_Oracle 7 (#29759).

• Исправлена ​​регрессия в Django 2.0, когда уникальные имена индексов не заключались в кавычки (#29778).

• Исправлена ​​регрессионная ошибка, из-за которой нарезанные запросы с несколькими столбцами с одинаковыми именами аварийно завершали работу в Oracle 12.1 (#29630).

• Исправлен сбой, когда пользователь с разрешением на просмотр (но не на изменение) отправлял POST-запрос к форме изменения пользователя администратора (#29809).