Django 2.2.16 release notes

1er septembre 2020

Django 2.2.16 fixes two security issues and two data loss bugs in 2.2.15.

CVE-2020-24583 : permissions incorrectes sur les répertoires de niveau intermédiaire avec Python 3.7+

Avec Python 3.7+, le mode FILE_UPLOAD_DIRECTORY_PERMISSIONS n’était pas appliqué aux répertoires de niveau intermédiaire créés dans le processus de téléversement de fichiers et pour les répertoires de niveau intermédiaire des fichiers statiques collectés lors de l’utilisation de la commande d’administration collectstatic.

Vous devriez examiner et corriger manuellement les permissions sur les répertoires de niveau intermédaire existants.

CVE-2020-24584: Permission escalation in intermediate-level directories of the file system cache on Python 3.7+

On Python 3.7+, the intermediate-level directories of the file system cache had the system’s standard umask rather than 0o077 (no group or others permissions).

Correction de bogues

  • Une possibilité de perte de données a été corrigée dans select_for_update(). Lorsqu’on utilisait des champs relationnels pointant vers un modèle mandataire dans le paramètre of, le modèle correspondant n’était pas verrouillé (#31866).
  • Une possibilité de perte de données a été corrigée, à la suite d’une régression dans Django 2.0, lors de la copie d’instances de modèles avec une valeur de champ mise en cache (#31863).