CH azonosító
CH-4144Angol cím
Django Two Security IssuesFelfedezés dátuma
2010.12.27.Súlyosság
AlacsonyÖsszefoglaló
A Django két biztonsági problémáját jelentették, melyeket rosszindulatú felhasználók kihasználhatnak érzékeny információk felfedésére, a támadók pedig szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.
Leírás
- A Django “django.contrib.admin” adminisztrátori interfész nem megfelelően szűri a lekérdező string-ekkel átadott keresés argumentumokat, ami kihasználható érzékeny információkhoz való hozzáféréshez. Ennek a biztonsági hibának a sikeres kiaknázásához, az adminisztrátori interfészhez való hozzáférés szükséges.
- A Django “django.contrib.auth” hitelesítő nem korlátozza a jelszó újrabeállító token-ek base36 egész részének maximális méretét, ami kihasználható magas CPU leterheltség előidézéséhez több speciálisan elkészített jelszó újrabeállító token elküldésével.
Megoldás
Frissítsen az 1.1.3 vagy 1.2.4 verzióra.
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.djangoproject.com
Egyéb referencia: archives.neohapsis.com
SECUNIA 42715