Django 发布了 1.9.2(安全更新)和 1.8.9(错误修复)版本

作者:Tim Graham 发布于 2016年2月1日

根据 我们的安全发布策略,Django 团队发布了 Django 1.9.2。此版本修复了以下安全问题。我们鼓励所有 Django 用户尽快升级。Django 主分支也已更新。

今天我们还发布了 1.8 版本系列的错误修复版本。详细信息可以在 1.8.9 的发行说明中找到。

CVE-2016-2048:拥有“更改”但没有“添加”权限的用户可以为ModelAdminsave_as=True

如果一个ModelAdmin使用save_as=True(不是默认值),管理员在编辑对象时提供了一个“另存为新文件”选项。Django 1.9 中的一个回归导致该表单提交不会为没有“添加”权限的用户引发“权限被拒绝”错误。

感谢 Myk Willis 报告此问题。

受影响的支持版本

  • Django 主开发分支
  • Django 1.9

Django 1.8 未受影响。根据我们的 支持版本策略,Django 1.7 及更早版本不再接收安全更新,但也未受影响。

解决方案

已将补丁应用于 Django 的主开发分支和 1.9 发布分支,解决了上述问题。补丁可以直接从以下更改集中获取

已发布以下新版本

这些版本使用的 PGP 密钥 ID 为 Tim Graham:1E8ABDC773EDE252。

有关安全报告的常规说明

与往常一样,我们请求您通过私人电子邮件将潜在的安全问题报告给security@djangoproject.com,而不是通过 Django 的 Trac 实例或 django-developers 列表。请参阅 我们的安全策略 以获取更多信息。

返回顶部