Django 2.0.10 release notes

4 januari 2019

Django 2.0.10 åtgärdar ett säkerhetsproblem och flera buggar i 2.0.9.

CVE-2019-3498: Möjlighet till innehållsförfalskning i standard 404-sidan

En angripare kan skapa en skadlig URL som kan få förfalskat innehåll att visas på standardsidan som genereras av vyn django.views.defaults.page_not_found().

URL-sökvägen visas inte längre i standardmallen 404 och kontextvariabeln request_path citeras nu för att åtgärda problemet för anpassade mallar som använder sökvägen.

Buggrättningar

  • Förhindrade repetitiva anrop till geos_version_tuple() i klassen WKBWriter i ett försök att åtgärda en slumpmässig krasch med LooseVersion sedan Django 2.0.6 (#29959).

  • Fixade ett problem med schemakorruption på SQLite 3.26+. Du kan behöva släppa och bygga om din SQLite-databas om du tillämpade en migrering medan du använde en äldre version av Django med SQLite 3.26 eller senare (#29182).

  • Förhindrade SQLite-schemaändringar när kontroller av främmande nycklar är aktiverade för att undvika risken för schemakorruption (#30023).