Django 1.11.5 release notes

5 september 2017

Django 1.11.5 åtgärdar ett säkerhetsproblem och flera buggar i 1.11.4.

CVE-2017-12794: Möjlig XSS i spårningsavsnittet på teknisk 500-felsökningssida

I äldre versioner var HTML-autokaptering inaktiverad i en del av mallen för den tekniska 500-felsökningssidan. Under rätt omständigheter möjliggjorde detta en cross-site scripting-attack. Denna sårbarhet bör inte påverka de flesta produktionsanläggningar eftersom du inte bör köra med DEBUG = True (vilket gör den här sidan tillgänglig) i dina produktionsinställningar.

Buggrättningar

  • Fixad GEOS-versionsparsning om versionen har en commit-hash i slutet (nytt i GEOS 3.6.2) (#28441).

  • Kompatibilitet för cx_Oracle 6 (#28498) lades till.

  • Fixat rendering av select widget när alternativvärden är tuples (#28502).

  • Django 1.11 ändrade oavsiktligt sekvens- och triggernamngivningsschemat på Oracle. Detta orsakar fel vid INSERT för vissa tabeller om 'use_returning_into': False finns i OPTIONS-delen av DATABASER. Namngivningsschemat från före 1.11 är nu återställt. Tyvärr kräver det nödvändigtvis en uppdatering av Oracle-tabeller som skapats med Django 1.11.[1-4]. Använd uppgraderingsskriptet i #28451 kommentar 8 för att uppdatera sekvens- och triggernamn för att använda namngivningsschemat från före 1.11.

  • Lagt till stöd för POST-begäran i LogoutView, för likvärdighet med den funktionsbaserade logout()-vyn (#28513).

  • Utelämnade pages_per_range från BrinIndex.deconstruct() om det är None (#25809).

  • Åtgärdade en regression där SelectDateWidget lokaliserade årtalen i valboxen (#28530).

  • Fixade en regression i 1.11.4 där runserver kraschade med icke-Unicode systemkodningar på Python 2 + Windows (#28487).

  • Åtgärdade en regression i Django 1.10 där ändringar av en ManyToManyField inte loggades i adminändringshistoriken (#27998) och förhindrade att ManyToManyField initialdata i modellformulär påverkades av efterföljande modelländringar (#28543).

  • Korrigerade icke-deterministiska resultat eller en AssertionError-krasch i vissa frågor med flera sammanfogningar (#26522).

  • Åtgärdade en regression i contrib.auth login() och logout() vyerna där de ignorerade positionella argument (#28550).