Django 2.0.2 和 1.11.10 发布，Python 的 Web 框架

Django 2.0.2 和 1.11.10 发布了。这两个版本解决了下述安全问题：

• CVE-2018-6188: AuthenticationForm 中的信息泄漏：
  • Django 1.11.8 中的回归使得即使输入的密码不正确，django.contrib.auth.forms.AuthenticationForm 也会运行其 confirm_login_allowed() 方法。 这可能泄漏有关用户的信息，具体取决于confirm_login_allowed() 引发的消息。 如果 confirm_login_allowed() 未被覆盖，则攻击者输入一个任意的用户名，并查看该用户是否被设置为 is_active = False。 如果 confirm_login_allowed() 被覆盖，更多的敏感细节可能被泄漏。

下载地址：

• https://www.djangoproject.com/download/

转自 http://www.oschina.net/news/93018/django-2-0-0-and-1-11-10-released