Примечания к выпуску Django 3.0.7¶
3 июня 2020 г.
В Django 3.0.7 исправлены две проблемы безопасности и несколько ошибок в версии 3.0.6.
CVE-2020-13254: потенциальная утечка данных из-за неправильно сформированных ключей memcached.¶
В тех случаях, когда серверная часть memcached не выполняет проверку ключей, передача неверных ключей кэша может привести к конфликту ключей и потенциальной утечке данных. Чтобы избежать этой уязвимости, в серверные части кэша memcached добавлена проверка ключей.
CVE-2020-13596: возможен XSS через администратора «ForeignKeyRawIdWidget».¶
Параметры запроса администратора «ForeignKeyRawIdWidget» не были должным образом закодированы в URL-адресе, что представляло собой вектор атаки XSS. ForeignKeyRawIdWidget теперь гарантирует правильное URL-кодирование параметров запроса.
Исправления¶
Исправлена регрессия в Django 3.0 путем восстановления возможности использования поиска по полям в
Meta.ordering(#31538).Исправлена регрессия в Django 3.0, при которой
QuerySet.values()иvalues_list()аварийно завершали работу, если набор запросов содержал агрегацию и аннотацию подзапроса (#31566).Исправлена регрессия в Django 3.0, когда агрегаты использовали неправильные аннотации, когда набор запросов имеет несколько аннотаций подзапросов (#31568).
Исправлена регрессия в Django 3.0, при которой
QuerySet.values()иvalues_list()аварийно завершали работу, если набор запросов содержал агрегирование и аннотациюExists()в Oracle (#31584).Исправлена регрессия в Django 3.0, где все разрешенные выражения Subquery() считались равными (#31607).
Исправлена регрессия в Django 3.0.5, которая влияла на загрузку перевода для приложений, предоставляющих переводы для вариантов территориального языка, а также для общего языка, где в проекте используются разные уравнения множественного числа для языка (#31570).
Отслеживая выпуск безопасности jQuery, версия jQuery, используемая администратором, была обновлена с 3.4.1 до 3.5.1.