Vulnérabilité: CVE-2020-4071

Dans django-basic-auth-ip-whitelist avant 0.3.4, une attaque de synchronisation potentiel existe sur les sites Web où l’authentification de base est utilisée ou configurée, à savoir BASIC_AUTH_LOGIN et BASIC_AUTH_PASSWORD est définie. Actuellement, la comparaison de chaînes entre les informations d’identification configurées et celles fournies par les utilisateurs est effectuée par un caractère par caractère comparaison de chaînes. Cela permet une possibilité que l’attaquant peut chronométrer le temps qu’il faut le serveur pour valider les différents noms d’utilisateur et mot de passe et utiliser ces connaissances pour élaborer les informations d’identification valides. Cette attaque est entendu de ne pas être réaliste sur Internet. Cependant, il peut être réalisé à l’intérieur des réseaux locaux où le site est hébergé, par exemple à l’intérieur d’un centre de données où se trouve le serveur d’un site Web. Sites protégés par adresse IP ne sont pas affectés whitelisting par cette vulnérabilité. Cette vulnérabilité a été corrigé sur la version 0.3.4 de django-auth-base ip-whitelist. Mise à jour à la version 0.3.4 le plus tôt possible et changer le nom d’utilisateur d’authentification de base et mot de passe configuré sur un projet Django en utilisant ce package. Une solution sans mise à niveau vers la version 0.3.4 est de cesser d’utiliser l’authentification de base et utiliser le composant IP uniquement whitelisting. Elle peut être obtenue en ne définissant pas BASIC_AUTH_LOGIN et BASIC_AUTH_PASSWORD dans les paramètres du projet Django.


https://github.com/tm-kn/django-basic-auth-ip-whitelist/security/advisories/GHSA-m38j-pmg3-v5x5
https://github.com/tm-kn/django-basic-auth-ip-whitelist/security/advisories/GHSA-m38j-pmg3-v5x5
https://groups.google.com/forum/#!msg/django-developers/iAaq0pvHXuA/fpUuwjK3i2wJ
https://groups.google.com/forum/#!msg/django-developers/iAaq0pvHXuA/fpUuwjK3i2wJ
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4071


Il est possible de laisser un commentaire en tant qu'utilisateur enregistré du site, accédant par les réseaux sociaux, compte wordpress ou en tant qu'utilisateur anonyme. Si vous souhaitez laisser un commentaire en tant qu'utilisateur anonyme, vous serez informé par courrier électronique d'une réponse possible uniquement si vous saisissez votre adresse électronique (facultatif). L'inclusion de toute donnée dans les champs de commentaires est totalement facultative. Toute personne qui décide de saisir des données accepte le traitement de celles-ci pour les finalités inhérentes au service ou la réponse au commentaire et aux communications strictement nécessaires.


Laisser un commentaire