Aktualizacja dotyczy wszystkich wersji Django.
Błąd znajduje się w braku sprawdzania długości hasła w module django.contrib.auth, przez co (jak sama ekipa django napisała) przykładowe hasło o wielkości 1MB będzie zajmować nawet minutę obliczeń hashy PBKDF2. Może to prowadzić do ataków denial-of-service.
Poprawka ustala maksymalny rozmiar hasła jakim jest 4096 bajtów.
Więcej informacji: https://www.djangoproject.com/weblog/20.../security/