Django 2.1.5 release notes

4 januari 2019

Django 2.1.5 åtgärdar ett säkerhetsproblem och flera buggar i 2.1.4.

CVE-2019-3498: Möjlighet till innehållsförfalskning i standard 404-sidan

En angripare kan skapa en skadlig URL som kan få förfalskat innehåll att visas på standardsidan som genereras av vyn django.views.defaults.page_not_found().

URL-sökvägen visas inte längre i standardmallen 404 och kontextvariabeln request_path citeras nu för att åtgärda problemet för anpassade mallar som använder sökvägen.

Buggrättningar

  • Korrigerad kompatibilitet med mysqlclient 1.3.14 (#30013).

  • Fixade ett problem med schemakorruption på SQLite 3.26+. Du kan behöva släppa och bygga om din SQLite-databas om du tillämpade en migrering medan du använde en äldre version av Django med SQLite 3.26 eller senare (#29182).

  • Förhindrade SQLite-schemaändringar när kontroller av främmande nycklar är aktiverade för att undvika risken för schemakorruption (#30023).

  • Åtgärdade en regression i Django 2.1.4 (som aktiverade keep-alive-anslutningar) där begärandets kroppsdata inte konsumeras korrekt för sådana anslutningar (#30015).

  • Åtgärdade en regression i Django 2.1.4 där InlineModelAdmin.has_change_permission() felaktigt anropas med ett icke-None obj argument under ett objekttillägg (#30050).