14 сентября 2013
Django 1.4.8 исправляет две ошибки безопасности в предыдущих версиях ветки 1.4.
В предыдущих версиях Django не было никаких ограничений на длину пароля. Это позволяло организовать атаку типа отказ в обслуживании путем подачи фиктивных, но чрезвычайно больших паролей, занимая ресурсы сервера, выполняющих (дорогой, и все более дорогие с увеличением длины пароля) расчеты соответствующего хеша.
По состоянию на 1.4.8, структура аутентификации Django накладывает ограничение 4096 байт на длину пароля и не позволяет проводить аутентификацию с паролями большей длины.
Декорирование add_view и user_change_password в панели администратора с помощью sensitive_post_parameters() не включало в себя вызов method_decorator(), который требуется для методов представлений. В итоге первоначальный декоратор применялся неверно. Такое поведение исправлено, и теперь в случае неправильного использования происходит исключение.
Mar 31, 2016