Django 1.5.5 release notes

23 oktober 2013

Django 1.5.5 åtgärdar ett par säkerhetsrelaterade buggar och flera andra buggar i 1.5-serien.

Återupprättad överbelastningsattack via lösenordshashers

Django 1.5.4 inför en gräns på 4096 byte för lösenord för att mildra en överbelastningsattack genom inlämning av falska men extremt stora lösenord. I Django 1.5.5 har vi återtagit den här ändringen och istället förbättrat hastigheten på vår PBKDF2-algoritm genom att inte radera nyckeln vid varje iteration.

Korrekt rotation av CSRF-token vid inloggning

Detta beteende som infördes som en säkerhetshärdande åtgärd i Django 1.5.2 fungerade inte korrekt och är nu åtgärdat.

Buggrättningar

  • Åtgärdat en datakorruptionsbugg med datetime_safe.datetime.combine (#21256).

  • Åtgärdat en Python 3-inkompatibilitet i django.utils.text.unescape_entities() (#21185).

  • Åtgärdat ett par problem med datakorruption i kantfallen för QuerySet under Oracle och MySQL (#21203, #21126).

  • Korrigerade krascher vid användning av kombinationer av annotate(), select_related() och only() (#16436).

Bakåtkompatibla förändringar

  • Den odokumenterade django.core.servers.basehttp.WSGIServerException har tagits bort. Använd socket.error som tillhandahålls av standardbiblioteket istället.