Django 3.0.7 和 2.2.13 发布,修复安全问题
Django 团队发布了修复安全问题的 Django 3.0.7 和 Django 2.2.13,并建议用户尽快进行升级。
新版本解决了以下安全问题:
CVE-2020-13254: Potential data leakage via malformed memcached keys
在 memcached 后端不执行密钥验证的情况下,传递伪造的缓存密钥可能会导致密钥碰撞,以及潜在的数据泄露。为了避免这个漏洞,新版本在 memcached 缓存后端增加了密钥验证。
CVE-2020-13596: Possible XSS via admin ForeignKeyRawIdWidget
管理员中的 ForeignKeyRawIdWidget 的查询参数没有正确进行 URL 编码,会构成 XSS 攻击向量。为解决此问题,ForeignKeyRawIdWidget 现在确保查询参数可正进行 URL 编码。
受影响版本
- Django master branch
- Django 3.1(目前处于 alpha 阶段)
- Django 3.0
- Django 2.2
除了解决安全问题,还包括部分 bugfix,详情查看发布公告。
针对处于维护阶段的安全增强版本 Django 1.6.11,Django 团队也发布了包含这些修复程序的 Django 1.6.11.9 新版本。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
AppCode 2020.1.4 发布,集成开发环境
AppCode 2020.1.4 发布了,此版本修复了以下问题: Xcode 关于在具有 SPM 依赖项的项目上修改了 xcworkspace 的问题 XCTUnwrap 显示为未解决 在混合 Swift/OC 项目中更改 Objective-C 方法的签名时,IDE 冻结 类的构造方法/初始化方法问题 AppCode 2020.1 中的 Feature Trainer 插件问题 初始化程序中的字符串文字被高亮为错误 更新说明:https://blog.jetbrains.com/objc/2020/06/appcode-2020-1-4-is-here/
- 下一篇
EA 发布《命令与征服》重制版及公开游戏源代码
当地时间6月6日,游戏公司 EA 发布了《命令与征服:重制版》。 重制版带来 4K 图像效果、多人游戏、改进的用户界面、提供 Mod 支持、由 Frank Klepacki 完全重制的配乐,以及更多内容。 EA 游戏制作人 Jim Vessella 上个月在Reddit 上预告称,在发布《命令与征服》重制版的同时,会开源《命令与征服》系列游戏中泰伯利亚黎明和红警的部分源代码。 因此我们看到《命令与征服:重制版》发布之前,EA 在 GPLv3 许可证下开源了该系列中 TiberianDawn(泰伯利亚黎明) 和 RedAlert(红色警戒)的 DLL 源代码,代码托管在 GitHub 上。 开源的代码不涉及游戏引擎和游戏素材,只包括 TiberianDawn.dll 和 RedAlert.dll 的源代码,开源的 DLL 可帮助玩家设计地图、创建自定义单位、替换艺术作品,以及更改游戏逻辑和编辑数据。 Vessella 表示《命令与征服》应该是首个在 GPL 下开源的大型即时战略游戏,之所以采用 GPL 是为了确保它与CnCNet 和 Open RA 等开源项目相互兼容,希望以对社区真正有...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS关闭SELinux安全模块
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- SpringBoot2整合Redis,开启缓存,提高访问速度
- MySQL8.0.19开启GTID主从同步CentOS8
- Hadoop3单机部署,实现最简伪集群
- 设置Eclipse缩进为4个空格,增强代码规范
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Linux系统CentOS6、CentOS7手动修改IP地址
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16