Django heeft de tweede security release in een week vrijgegeven. Dit keer betreft het een versnelde update buiten het normale release proces om omdat de details van het probleem al publiek zijn.

De release is beschikbaar in de vorm van versies 1.4.8, 1.5.4 en 1.6beta.

De issue betreft een "denial of service" in de django authenticatie module (django.contrib.auth). Doordat er geen restrictie is op lengte van wachtwoorden kan een willekeurig lang wachtwoord opgegeven worden ter authenticatie. Een wachtwoord van bijvoorbeeld één megabyte zal al een minuut kosten om te verifieren (ook al is het een incorrect wachtwoord). Hiermee is het erg eenvoudig om alle workers van een Django applicatie bezig te houden en de site daarmee onbeschikbaar te maken.

 

Uiteraard kunt u altijd contact met ons opnemen voor een uitgebreide security audit van uw (Django) project!

Last updated 16 september 2013 15:10 | django denial of service release security

Geen reakties

Post a comment:

captcha