Django 3.1.7 版本发行说明

Donate 来源:django 浏览 358 扫码分享 2021-04-08 21:17:03

Django 3.1.7 版本发行说明
- CVE-2021-23336：通过 django.utils.http.limited_parse_qsl() 进行网络缓存投毒
- 漏洞修复

Django 3.1.7 版本发行说明

2021 年 2 月 19 日

Django 3.1.7 修复了 3.1.6 中的一个安全问题和一个 bug。

CVE-2021-23336：通过 `django.utils.http.limited_parse_qsl()` 进行网络缓存投毒

Django 包含一个 urllib.parse.parse_qsl() 的副本，它是为了回溯一些安全修复而添加的。最近又发布了一个安全修复，使 parse_qsl() 不再允许使用 ; 作为默认的查询参数分隔符。Django 现在包含了这个修正。更多细节请参见 bpo-42967。

漏洞修复

修正了 Django 3.1 中的一个缺陷，当只使用 'postgres' 数据库时，会导致``RuntimeError`` 而不是连接错误（#32403）。

当前内容版权归 django 或其关联方所有，如需对内容或内容相关联开源项目进行关注与资助，请访问 django .

本文档使用 BookStack 构建

展开/收起文章目录