Conforme previamente anunciado, hoje é o lançamento do Django 1.2.1, a primeia versão de correção de bugs da série 1.2 do Django 1.2. Para o pacote em si, vá para a nossa página de downloads; e como sempre, checksums assinados do pacote de lançamento estão disponíveis.
Como um lançamento de correção de bugs, o Django 1.2.1 não contém novas funcionalidades -- somente as correções de alguns bugs nos lançamentos anteriores, junto com mais dois tíquetes que tinham correções rápidas disponíveis: #13592 and #13590.
Originalmente postado por James Bennett no blog do Django.
Já se passaram dez diz agora desde o candidato a liberação da versão 1.2 do Django, e nenhum novo bug crítico foi reportado, então nós estamos dando a luz verde ao Django 1.2. O lançamento final acontecerá na segunda, dia 17 de Maio de 2010.
Entre agora e segunda, a única coisa que aceitaremos (barring any release-blocking bugs -- but we're not aware of any) são arquivos de tradução; se você tem traduções que ainda não enviou, por favor as envie ao Trac o mais rápido possível para que possamos lidar com ela antes do lançamento final.
Do blog do projeto do Django, em http://www.djangoproject.com/weblog/2010/may/15/release-schedule/
Como parte do processo de lançamento do Django 1.2, essa noite nós lançamos o Django 1.2 alpha 1, um pacote de previsão/teste que dá um gostinho das novidades que virão no Django 1.2. Como em todos os pacotes alpha e beta, ele não devee ser usado em produção, mas se você quiser testar as novidades do 1.2, ou se você gostaria de se envolver e ajudar a corrigir bugs antes do lançamento do 1.2 final (agendado para Abril), sinta-se livre para obter uma cópia e dar uma olhada.
Você pode obter uma cópia do pacote 1.2 alpha da nossa página de downloads, e recomendamos que você leia as notas de lançamento. Para garantir a integridade dos arquivos, checksums assinados MD5 e SHA1 do pacote 1.2 alpha estão disponíveis.
Tradução do post original em http://www.djangoproject.com/weblog/2010/jan/06/12-alpha-1/
Hoje o projeto Django está emitindo um conjunto de lançamentos para remediar um
problema de segurança. Este problema foi divulgado por terceiros numa lista de
discussão de alto tráfego, e foram feitas tentativas para explorá-lo em
instalações ativas do Django; desta forma, nós ignoramos nossa política normal
de segurança e divulgação, para emitimos correções e atualizações imediatamente.
A biblioteca de formulários do Django inclui tipos de campos que executam
validações, baseadas em expressões regulares, de endereços de email e URLs.
Determinados endereços/URLs poderiam desencadear um caso patológido de
performance nesta expressão regular, resultando num processo/thread do servidor
sem resposta, consumindo CPU excessivamente por um período de tempo extenso. Se
isso for deliberadamente provocado, poderia resultar num ataque de
denial-of-service (negação de serviço).
Qualquer aplicação Django que faz uso dos campos EmailField ou URLField nas
seguintes versões, é vulnerável:
- Django development trunk
- Django 1.1
- Django 1.0
Resolução
A expressão regular utilizada para validação de endreço de email e URL foi
modificada para eliminar o caso patológico de performance.
As correções foram aplicadas nos seguintes changesets:
- Django development trunk: 11603.
- Django 1.1 release series: 11604.
- Django 1.0 release series: 11605.
Os seguintes releases foram emitidos imediatamente:
- Django 1.1.1
- Django 1.0.4
Estes releases estão disponívei na nossa página de download e no PyPI.
Como este problema está sendo explorado ativamente, todos os usuário
que utilizam as versões do Django afetadas são fortemente encorajados a
atualizar ou aplicar o patch apropriado imediatamente.
Nota sobre o relato de segurança
Como mensionado acima, este problema foi inicialmente divulgado publicamente
numa lista de alto tráfego. Nós gostariámos de lembrar nossos usuários de que o
canal correto para relatos de segurança é o email security@djangoproject.com.
Isso dá tempo ao time de desenvolvimento para desenvolver uma solução e
coordenar a divulgação, tanto para a comunidade Django como um todo, quanto
para os vários colaboradores que mantêm e distribuem versões do Django
empacotadas.
Quando deparar-se com um problema particular que impacta na segurança, nós
pedimos a você que tenha um pouco de cuidado e entre em contato com
security@djangoproject.com; nós ficaremos mais do que felizes em trabalhar com
você na análise e avaliação de potenciais problemas de segurança.
Nota da comunidade Django Brasil
Caso você não saiba ingês, você pode procurar ajuda no grupo de localização
e tradução do Django, ou mesmo na lista da Django Brasil, solicitando
auxílio para reportar o problema. Se isso for acontecer, num primeiro
momento não exponha o que está acontecendo, a fim de manter a privacidade
na comunicação e segurança das outras pessoas.
Por James Bennett em 9 de Outrubro de 2009. Traduzido por Robson Mendonça em 10 de Outubro de 2009
Em conformidade com a política de segurança, o projeto Django publicou no dia 28 de julho um conjunto de releases para concertar uma vulnerabilidade.
As versões afetadas são as seguintes:
Se você utiliza alguma das versões acima, a atualização é recomendada. Um upgrade para a versão 1.1 do Django lançada recentemente também resolve o problema, uma vez que o mesmo não é afetado pela vulnerabilidade.
Você encontra pacotes para os novos releases em nossa página de download.
Confira a notícia publicada no site do projeto oficial do Django para mais detalhes da vulnerabilidade, entre outras informações importantes.
Importante
Note que o lançamento do Django 1.1 decretou o fim da vida da série Django 0.96; sendo assim, o Django 0.96.4 será o último lançamento oficial desta série, que não mais receberá correções de bugs ou suporte de segurança, vindas diretamente do time de desenvolvimento do Django.