Django 2.0.2 和 1.11.10 发布,Python 的 Web 框架

来源: 投稿
作者: 达尔文
2018-02-02 08:14:39

Django 2.0.2 和 1.11.10 发布了。这两个版本解决了下述安全问题:

  • CVE-2018-6188: AuthenticationForm 中的信息泄漏:

    • Django 1.11.8 中的回归使得即使输入的密码不正确,django.contrib.auth.forms.AuthenticationForm 也会运行其 confirm_login_allowed() 方法。 这可能泄漏有关用户的信息,具体取决于confirm_login_allowed() 引发的消息。 如果 confirm_login_allowed() 未被覆盖,则攻击者输入一个任意的用户名,并查看该用户是否被设置为 is_active = False。 如果 confirm_login_allowed() 被覆盖,更多的敏感细节可能被泄漏。

下载地址:

展开阅读全文
点击加入讨论🔥(3) 发布并加入讨论🔥
本篇精彩评论
Python 做web好弄吗?
2018-02-02 11:09
1
举报
MrD
改用flask
2018-02-02 09:05
1
举报
3 评论
4 收藏
分享
返回顶部
顶部