Примечания к выпуску Django 3.0.4¶
4 марта 2020 г.
В Django 3.0.4 исправлена проблема безопасности и несколько ошибок в версии 3.0.3.
CVE-2020-9402: потенциальное внедрение SQL через параметр tolerance в функциях и агрегатах ГИС в Oracle.¶
ГИС-функции и агрегаты в Oracle подвергались внедрению SQL с использованием специально созданного «допуска».
Исправления¶
Исправлена возможность потери данных при использовании кеширования из асинхронного кода (#31253).
Исправлена регрессия в Django 3.0, из-за которой ответ файла с использованием временного файла закрывался некорректно (#31240).
Исправлена возможность потери данных в
select_for_update(). При использовании связанных полей или полей родительских ссылок с Multi-table наследование в аргументеofсоответствующие модели не блокировались (#31246).Исправлена регрессия в Django 3.0, приводившая к неправильному размещению параметров в зарегистрированных SQL-запросах в Oracle (#31271).
Исправлена регрессия в Django 3.0.3, приводившая к неправильному размещению параметров SQL-запросов при вычитании выражений DateField или DateTimeField в MySQL (#31312).
Исправлена регрессия в Django 3.0, которая не включала подзапросы, охватывающие многозначные отношения, в предложении GROUP BY (#31150).