The Django weblog
·
Django安全版本发布:6.0.4、5.2.13和4.2.30
💡
原文英文,约500词,阅读约需2分钟。
📝
内容提要
Django团队发布了6.0.4、5.2.13和4.2.30版本,修复了多个安全漏洞。建议所有用户尽快升级,特别是4.2用户需升级至5.2或更高版本以继续获得安全修复。
🎯
关键要点
-
Django团队发布了6.0.4、5.2.13和4.2.30版本,修复了多个安全漏洞。
-
建议所有用户尽快升级,特别是4.2用户需升级至5.2或更高版本以继续获得安全修复。
-
Django 4.2已达到扩展支持的结束,用户需注意升级。
-
ASGIRequest现在忽略包含下划线的头部,符合Daphne的行为。
-
在GenericInlineModelAdmin中,未验证的权限可能导致伪造POST数据的提交问题。
-
ModelAdmin.list_editable在使用时可能允许通过伪造POST数据创建新实例。
-
multipart上传可能因Content-Transfer-Encoding: base64中的多余空格而导致性能下降。
-
缺失或低估的Content-Length头可能绕过DATA_UPLOAD_MAX_MEMORY_SIZE限制,导致服务降级。
❓
延伸问答
Django 6.0.4、5.2.13和4.2.30版本修复了哪些安全漏洞?
这些版本修复了多个安全漏洞,包括未验证的权限和伪造POST数据的问题。
为什么Django 4.2用户需要升级?
Django 4.2已达到扩展支持的结束,用户需升级至5.2或更高版本以继续获得安全修复。
ASGIRequest在新版本中有什么变化?
ASGIRequest现在忽略包含下划线的头部,符合Daphne的行为。
Django的安全政策是什么?
Django的安全政策要求潜在的安全问题通过私密邮件报告,而不是通过Django的Trac实例或论坛。
如何获取Django的新补丁?
补丁可以从Django的主分支、6.0、5.2和4.2分支的变更集获取。
Django 6.0.4版本的发布有什么重要信息?
Django 6.0.4版本是为了修复安全漏洞而发布的,用户应尽快升级。
➡️
