Django 3.0.4 release notes

4 mars 2020

Django 3.0.4 åtgärdar ett säkerhetsproblem och flera buggar i 3.0.3.

CVE-2020-9402: Potentiell SQL-injektion via tolerance parameter i GIS-funktioner och aggregat på Oracle

GIS-funktioner och aggregat på Oracle var föremål för SQL-injektion med hjälp av en lämpligt utformad ”tolerans”.

Buggrättningar

  • Åtgärdat en möjlighet till dataförlust vid användning av caching från async-kod (#31253).

  • Åtgärdade en regression i Django 3.0 som orsakade att ett filsvar som använde en temporär fil stängdes felaktigt (#31240).

  • Åtgärdade en möjlighet till dataförlust i select_for_update(). Vid användning av relaterade fält eller överordnade länkfält med Arv från flera tabeller i of-argumentet låstes inte motsvarande modeller (#31246).

  • Åtgärdat en regression i Django 3.0 som orsakade felplacering av parametrar i loggade SQL-frågor på Oracle (#31271).

  • Åtgärdade en regression i Django 3.0.3 som orsakade felplacering av parametrar i SQL-frågor när man subtraherade DateField eller DateTimeField uttryck på MySQL (#31312`).

  • Åtgärdade en regression i Django 3.0 som inte inkluderade underfrågor som spänner över multivalued-relationer i GROUP BY-klausulen (#31150).