Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/09/2013
Vulnerabilitats en Django
Només en cinc dies s’han publicat dos butlletins de seguretat per a l'entorn de treball Django. Solucionen dos vulnerabilitats que afecten la confidencialitat i disponibilitat del sistema.Django és un entorn de treball de codi obert basat en Python per al desenvolupament de llocs web seguint el patró MVC (Model-Vista-Controlador). Es va publicar per primera vegada en 2005, i des d'aquell moment l'ús d'este entorn ha experimentat un considerable creixement entre els desenvolupadors, L’última versió estable és la 1.5, i la versió 1.6 està en fase de desenvolupament.
La primera vulnerabilitat l'ha descoberta Rainer Koirikivi i s'ha identificat com a CVE-2013-4315. És deguda a un error, perquè no restringix l’accés de l’etiqueta per a plantilla "ssi" únicament als directoris especificats en TEMPLATE_DIRS. Açò podria permetre l’accés a directoris restringits a través d’un atac d’escalada de directoris.
L'explotació de forma remota requerix que la plantilla faça ús de l’etiqueta "ssi" i que l'usuari puga interactuar amb esta i proporcionar la ruta com a paràmetre de l'etiqueta esmentada.
Tan sols uns dies després s’ha corregit una altra vulnerabilitat amb l'identificador CVE-2013-1443. En esta ocasió, es tracta d’una denegació de servici resolta de manera urgent, ja que es va publicar abans de reportar-la als desenvolupadors de l'entorn de treball.
El problema es dóna pel mètode per defecte per a calcular el coixinet de les contrasenyes (PBKDF2) utilitzat pel mòdul d’autenticació django.contrib.auth.contrib.auth, que és relativament costós de calcular, i la falta de limitació en la longitud de les contrasenyes mencionades. Açò provocaria un excessiu consum de recursos en el servidor. Un atacant remot podria causar una denegació de servici enviant successives peticions d’autenticació amb contrasenyes llargues.
Sistemes Afectats:Django, versions anteriors a 1.4.8, 1.5.4, i 1.6 beta 4.
Referències:CVE-2013-1443, CVE-2013-4315
Solució:Django Software Foundation ha publicat les versions 1.4.8, 1.5.4, i 1.6 beta 4 de Django que solucionen les dos vulnerabilitats. Estan disponibles per a descarregar-les en la pàgina oficial.
Notes:Security releases issued: directory traversal with ssi template tag
Security releases issued: denial-of-service via large passwords
Download Django
Index of Packages > Django