Django 安全版本发布:2.1.2
根据 我们的安全版本发布策略,Django 团队发布了 Django 2.1.2。此版本解决了以下安全问题。我们鼓励所有 Django 用户尽快升级。
CVE-2018-16984:“只读”管理员用户的密码哈希泄露
如果管理员用户对用户模型具有更改权限,则在更改表单中仅显示密码哈希的一部分。对用户模型具有查看(但没有更改)权限的管理员用户将显示整个哈希值。虽然反向强密码哈希通常不可行,但如果您的站点使用较弱的密码哈希算法(如 MD5 或 SHA1),则可能存在问题。
感谢 Phithon Gong 报告此问题。
受影响的版本
- Django 主开发分支
- Django 2.1
解决方案
已将解决此问题的补丁应用于 Django 的主分支和 2.1 发布分支。补丁可从以下更改集中获取
已发布以下版本
- Django 2.1.2 (下载 Django 2.1.2 | 2.1.2 校验和)
这些版本使用的 PGP 密钥 ID 为 Carlton Gibson:E17DF5C82B4F9D00。
有关安全报告的一般说明
与往常一样,我们要求通过私人电子邮件将潜在的安全问题报告给security@djangoproject.com,而不是通过 Django 的 Trac 实例或 django-developers 列表。有关更多信息,请参阅 我们的安全策略。
