Vulnerabilità: CVE-2020-15105

Django autenticazione a due fattori prima di 1.12, memorizza la password dell’utente in chiaro nella sessione utente (con codifica Base64). La password viene memorizzata nella sessione quando l’utente invia il proprio nome utente e password, e viene rimossa una volta che l’autenticazione completa inserendo un codice di autenticazione a due fattori. Ciò significa che la password è memorizzata in chiaro nella sessione per un importo di tempo arbitrario, e potenzialmente per sempre se l’utente inizia il processo di login inserendo il proprio nome utente e password e poi le foglie prima di entrare il loro codice di autenticazione a due fattori. La gravità di questo problema dipende da quale tipo di memorizzazione delle sessioni si è configurato: nel peggiore dei casi, se si sta utilizzando memorizzazione delle sessioni database predefinito di Django, quindi le password degli utenti vengono memorizzate in chiaro nel database. Nel migliore dei casi, se si sta utilizzando cookie di sessione firmato di Django, quindi le password degli utenti vengono memorizzate solo in chiaro all’interno di negozio di cookie del browser. Nel caso comune di utilizzare file di sessione di cache di Django, le password degli utenti vengono memorizzate in chiaro in qualunque memoria cache è stato configurato (tipicamente memcached o Redis). Questo è stato risolto in 1.12. Dopo l’aggiornamento, gli utenti dovrebbero essere sicuri di eliminare eventuali password in chiaro che sono state memorizzate. Ad esempio, se si sta utilizzando il backend sessione di database, è probabile che desidera eliminare qualsiasi record della sessione dal database e di spurgo che i dati da qualsiasi backup di database o repliche. Inoltre, le organizzazioni che hanno subito una violazione di database durante l’utilizzo di una versione interessata dovrebbe informare i propri utenti che i loro password in chiaro sono state compromesse colpiti. Tutte le organizzazioni dovrebbero incoraggiare gli utenti le cui password erano memorizzate non sicuro di cambiare le password su tutti i siti in cui sono stati utilizzati. Per risolvere il problema, wwitching memorizzazione delle sessioni di Django per uso firmato cookie invece di database o di cache riduce l’impatto di questo problema, ma non dovrebbe essere fatto senza una conoscenza approfondita dei compromessi di sicurezza di utilizzare i cookie firmati piuttosto che una memorizzazione delle sessioni lato server . Non v’è alcun modo per attenuare completamente il problema senza l’aggiornamento.


https://github.com/Bouke/django-two-factor-auth/security/advisories/GHSA-vhr6-pvjm-9qwf
https://github.com/Bouke/django-two-factor-auth/security/advisories/GHSA-vhr6-pvjm-9qwf
https://github.com/Bouke/django-two-factor-auth/blob/master/CHANGELOG.md#112—2020-07-08
https://github.com/Bouke/django-two-factor-auth/blob/master/CHANGELOG.md#112—2020-07-08
https://github.com/Bouke/django-two-factor-auth/commit/454fd9842fa6e8bb772dbf0943976bc8e3335359
https://github.com/Bouke/django-two-factor-auth/commit/454fd9842fa6e8bb772dbf0943976bc8e3335359
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15105


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi