Vulnerabilità: CVE-2020-4071

In django-basic-auth-ip-whitelist prima 0.3.4, esiste un potenziale attacco temporizzazione sui siti dove l’autenticazione di base viene usato o configurato, cioè BASIC_AUTH_LOGIN e BASIC_AUTH_PASSWORD è impostato. Attualmente il confronto di stringhe tra le credenziali configurate e quelli forniti dagli utenti viene eseguita attraverso un confronto tra stringhe carattere per carattere. Ciò consente una possibilità che malintenzionato potrebbe cronometrare il tempo necessario al server per convalidare diversi nomi utente e password e utilizzare questa conoscenza per elaborare le credenziali valide. Questo attacco è capito di non essere realistici su Internet. Tuttavia, può essere raggiunto all’interno di reti locali in cui il sito è ospitato, per esempio dall’interno di un centro dati in cui si trova il server di un sito web. Siti protetti in base all’indirizzo IP whitelist solo non sono interessati da questa vulnerabilità. Questa vulnerabilità è stato risolto nella versione 0.3.4 di django-base-auth-ip-whitelist. Aggiornamento alla versione 0.3.4 il più presto possibile e cambiare il nome utente l’autenticazione di base e la password configurati su un progetto Django usando questo pacchetto. Una soluzione senza effettuare l’aggiornamento alla versione 0.3.4 è quello di smettere di usare l’autenticazione di base e utilizzare solo la componente IP whitelist. Esso può essere ottenuto non impostando BASIC_AUTH_LOGIN e BASIC_AUTH_PASSWORD nelle impostazioni di progetto Django.


https://github.com/tm-kn/django-basic-auth-ip-whitelist/security/advisories/GHSA-m38j-pmg3-v5x5
https://github.com/tm-kn/django-basic-auth-ip-whitelist/security/advisories/GHSA-m38j-pmg3-v5x5
https://groups.google.com/forum/#!msg/django-developers/iAaq0pvHXuA/fpUuwjK3i2wJ
https://groups.google.com/forum/#!msg/django-developers/iAaq0pvHXuA/fpUuwjK3i2wJ
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4071


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi