Django 4.1.6 版本发行说明

Donate 来源:Django 浏览 50 扫码分享 2023-12-12 19:22:02

Django 4.1.6 版本发行说明
- CVE-2023-23969: 通过 Accept-Language 标头的潜在拒绝服务漏洞
- 漏洞修复

Django 4.1.6 版本发行说明

2023 年 2 月 1 日

Django 4.1.6 修复了一个安全问题，严重程度为”中等”，以及 4.1.5 版本中的一个错误。

CVE-2023-23969: 通过 `Accept-Language` 标头的潜在拒绝服务漏洞

为了避免重复解析，Accept-Language 标头的解析值被缓存起来。如果发送大型标头值，这可能导致潜在的拒绝服务攻击向量，因为会占用大量内存。

为了避免这个漏洞，现在对 Accept-Language 标头进行了最大长度限制的解析。

漏洞修复

在 Django 4.1 中修复了一个问题，导致在带有有序表达式的 UniqueConstraint 上进行模型验证时崩溃的错误（#34291）。

当前内容版权归 Django 或其关联方所有，如需对内容或内容相关联开源项目进行关注与资助，请访问 Django .

本文档使用 BookStack 构建

展开/收起文章目录