CVE-2015-8213：修复了日期模板过滤器中的

设置泄露可能性日期如果应用程序允许用户指定未经验证的日期格式并将此格式传递给{{ last_updated|date:user_date_format }}过滤器，例如："SECRET_KEY"而不是"j/m/Y".

为了解决这个问题，模板过滤器使用的底层函数：日期模板过滤器，django.utils.formats.get_format()现在只允许访问日期/时间格式设置。

感谢 Ryan Butterfield 报告此问题。

受影响的支持版本

• Django 主开发分支
• Django 1.9（目前处于发布候选版本状态）
• Django 1.8
• Django 1.7

根据我们的支持版本策略，Django 1.6 及更旧版本不再接收安全更新。

这很可能是 1.7 系列的最后一个版本，因为它将在计划于 12 月 1 日发布的 Django 1.9 后终止生命周期。

解决方案

已将补丁应用于 Django 的主开发分支和 1.7、1.8 和 1.9 发布分支，这些补丁解决了上述问题。补丁可以直接从以下变更集中获取

• 在开发主分支上
• 在1.9 发布分支上
• 在1.8 发布分支上
• 在1.7 发布分支上

已发布以下新版本

• Django 1.9rc2（下载 Django 1.9rc2 | 1.9rc2 校验和）
• Django 1.8.7（下载 Django 1.8.7 | 1.8.7 校验和）
• Django 1.7.11（下载 Django 1.7.11 | 1.7.11 校验和）

这些版本使用的 PGP 密钥 ID 为 Tim Graham：1E8ABDC773EDE252。

关于安全报告的常规说明

与以往一样，我们要求通过私人电子邮件向security@djangoproject.com报告潜在的安全问题，而不是通过 Django 的 Trac 实例或 django-developers 列表报告。请参阅我们的安全策略了解更多信息。