En sólo cinco días se han ha publicado dos boletines de seguridad para el framework Django que corregen dos vulnerabilidades que afectan a la confidencialidad y disponibilidad del sistema.
Django es un framework de código abierto basado en Python para el desarrollo de sitios web siguiendo el patrón MVC (Modelo-Vista-Controlador).
Impacto en el Sistema
- La primera vulnerabilidad (CVE-2013-4315) podría permitir el acceso a directorios restringidos a través de un ataque de escalada de directorios.
- La segunda vulnerabilidad (CVE-2013-1443) podría permitir que a un atacante remoto causar una denegación de servicio enviando sucesivas peticiones de autenticación con contraseñas de gran tamaño.
Recomendación
- Django Software Foundation ha lanzado las versiones 1.4.8, 1.5.4, y 1.6 beta 4 de Django que corrigen las dos vulnerabilidades.
- Disponibles para su descarga en el sitio oficial.
Más información:
Una al día (Vulnerabilidades en Django) http://unaaldia.hispasec.com/2013/09/vulnerabilidades-en-django.html
Fuente: Hispasec