Django 1.4.8 release notes

2013年9月14日

Django 1.4.8修复了1.4系列中以前的Django版本中存在的两个安全问题。

Denial-of-service via password hashers

在以前的Django版本中,对密码的明文长度没有限制。这允许通过提交伪造但非常大的密码提供拒绝服务攻击,绑定执行相应散列的(昂贵的,并且越来越昂贵的密码的长度)计算的服务器资源。

从1.4.8开始,Django的身份验证框架对密码强制实施4096字节的限制,并且在任何提交的密码长度更长的情况下都会失败。

Corrected usage of sensitive_post_parameters() in django.contrib.auth’s admin

使用sensitive_post_parameters()add_viewuser_change_password用户管理视图的装饰不包括method_decorator()(必需因为视图是方法),导致装饰器未被正确应用。此用法已修复,并且sensitive_post_parameters()现在将在使用不当时抛出异常。