DDOS y cross-site scripting en Django


Se han solucionado tres vulnerabilidades que afectan a Django 1.3 y 1.4, una de ellas permitiría un ataque de tipo cross-site scripting y las otras dos podrían provocar una denegación de servicio.





Django es un framework de desarrollo escrito en Python que facilita la programación de sistemas web. Fue publicado en 2005 y desde entonces su uso ha crecido considerablemente. La última versión disponible es la 1.4.1.

La primera de las vulnerabilidades, identificada por el CVE-2012-3442 permitiría un ataque de tipo Cross-site Scripting. Django permite la redirección de una página a otra, por ejemplo, cuando un usuario se identifica en el sistema (login) o cierra la sesión (logout), Django lo redirige a una nueva página. Este sistema se llama 'POST-redirect-GET'. La página destino debe cumplir unos requisitos básicos que establece Django, como por ejemplo, que esté en el mismo dominio, pero no realiza prueba alguna sobre el tipo de caracteres que contiene. Así que un atacante podría manipular el campo 'data' e incluir código JavaScript malicioso.
Para solventar el error se ha creado una "lista blanca" de redirecciones en la clase de respuesta 'Django.http.HttpResponseRedirectBase', de la cuál heredan 'HttpResponseRedirect' y 'HttpResponsePermanentRedirect'.

La vulnerabilidad identificada con CVE-2012-3443 se trata de un error al subir una imagen al servidor. Django proporciona la clase 'Django.forms.ImageField' para subir imágenes al servidor, que realiza algunas validaciones. Cuando se sube una imagen comprimida, Django la descomprime (ya en el lado del servidor) para hacer estas comprobaciones básicas, cargando toda la imagen descomprimida en memoria. Si la imagen es de un tamaño excesivamente grande, puede llegar a utilizar gran parte de la memoria, causando una denegación del servicio.
Para mitigar los efectos, en la nueva versión se utiliza el verificador de imágenes de PIL (Python Imaging Library), que realiza comprobaciones básicas sin descomprimir ni cargar la imagen entera en memoria.

La última vulnerabilidad (CVE-2012-3444) también consiste en una denegación de servicio, pero esta vez en la función 'get_image_dimensions' que se encarga de obtener las dimensiones de una imagen. La manera de trabajar de esta función es cargar bloques de 1024 bytes desde el inicio de la imagen y hacer uso de la biblioteca PIL, que se encarga de determinar las dimensiones. Si el tamaño de datos es insuficiente para realizar los cálculos, Django carga los siguientes 1024 bytes y se los sigue pasando a PIL hasta que este devuelve las dimensiones. Este sistema es útil cuando en la cabecera de las imágenes hay suficientes datos para calcular las dimensiones, pero no es tan útil en formatos 'RAW' o 'TIFF', los cuales hay que cargar completamente para determinar su tamaño.
En estos casos (y con imágenes de gran tamaño) habría que cargar muchos bloques de 1024 bytes del disco (con los accesos que ello conlleva), lo que derivaría en un consumo excesivo de CPU y causaría una denegación de servicio.
En las nuevas versiones el algoritmo para determinar las dimensiones ha cambiado: de cargar siempre un bloque fijo de 1024 bytes, ahora realiza lecturas de 1024 bytes * número de lecturas2. En la primera leería 1024, en la segunda 2048, en la tercera 4096, y así sucesivamente, reduciendo el número de lecturas para ficheros TIFF muy grandes.

Las versiones afectadas son la 1.3 y la 1.4. Se recomienda actualizar a la 1.3.2 o a la 1.4.1 respectivamente.

Más información:

Django weblog - Security releases issued:
https://www.Djangoproject.com/weblog/2012/jul/30/security-releases-issued/

Django 1.3.2
https://www.Djangoproject.com/download/1.3.2/tarball/

Django 1.4.1
https://www.Djangoproject.com/download/1.4.1/tarball/

Fuente:
Antonio Sánchez
http://hispasec.com



Otras noticias de interés:

Sobreescritura de ficheros arbitrarios con "unzip"
Las versiones de la utilidad unzip no actualizadas son susceptibles a un ataque por medio del cual permiten sobreescribir cualquier fichero del sistema accesible al usuario que realiza la operación....
Update sobre la X-box
En la lista de Raregaz raredudez@yahoogrupos.com.mx (cabe destacar una de las pocas listas serias que existen en español) uno de los listeros conocido como Jack man presente este interesante artículo de como actualizar la X-Box :D ...
Microsoft lanza un parche de seguridad para un fallo "crítico"
Microsoft lanza un parche de seguridad para un fallo crítico que afecta a casi todas las versiones de Windows Microsoft acaba de publicar en su portal un nuevo boletín de seguridad (MS03-026) dirigido a los millones de usuarios d...
Entrevista: J4iber y Hanowar, los Latin American Defacers
Hablan los autores del ataque al website de la ONIDEX y otros 23 sitios del gobierno Venezolano J4iber: Mi misión es hacer que los webmasters estén mas pendientes de sus webs / Hanowar: Decidimos no atacar más para evitar que sea visto como al...
PayPal recompensará a quienes encuentren fallos de seguridad en sus sistemas
PayPal ha seguido el ejemplo de otras compañías, como Mozilla, Google o Facebook, y ha anunciado un programa de recompensas que premiará a los que descubran fallos de seguridad en sus sistemas....
Denegación de servicio y cross-site scripting en Apache 1.3.x, 2.0.x y 2.2.x
La Fundación Apache ha publicado varias vulnerabilidades en el servidor web Apache que podrían ser aprovechadas por atacantes remotos para provocar una denegación de servicio o perpetrar ataques de cross-site scripting. Los problemas se dan en alg...
Exploit de vulnerabilidad Mozilla Firefox 1.5 Beta 1 IDN Buffer Overflow
Créditos del exploit Berend-Jan Wever, dicho exploit ataca la vulnerabilidad IDN Buffer Overflow que afecta al Firefox 1.5, ya corregida en las versiones posteriores de este browser....
Facebook, riesgo para las empresas
Un nuevo informe publicado por Sophos ha revelado que Facebook es la mayor amenaza de seguridad para las empresas que hacen uso de las redes sociales. Los problemas: malware, spam y phishing....
Un troyano de Linux hace saltar todas las alarmas
Se ha descubierto un troyano en una de las descargas más populares de Linux, lo que pone de manifiesto que el sistema operativo no es impenetrable....
Crecimiento de problemas con programas espías
Cada vez más, los usuarios de computadoras se están quejando de problemas causados por programas espías, conocidos como spyware. Cada pulsación de tecla, sitio web visitado y mensaje de correo electrónico enviado, puede ser grabado o monitor...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cross
  • ddos
  • debian
  • django
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • scripting
  • seguridad
  • site
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra