5.8.15

Boletín de Seguridad sobre vulnerabilidades en Django

Se identificaron diversas vulnerabilidades en el Framework Django, que provocan Negación de Servicio (DoS) e inyección de cabeceras. Lo anterior puede ser corregido instalando la última versión disponible de Django.




Sistemas afectados:
  • Django 1.8
  • Django 1.7
  • Django 1.4
  • Django 1.5
  • Django 1.6

En el año 2005 se lanzó al mercado la primera versión de Django y desde entonces ha tenido muy buena aceptación y crecimiento entre los programadores, este Framework está realizado en código abierto y está basado en una plataforma Pyhton para el desarrollo de sitios web siguiendo el patrón MVC (Modelo-Vista-Controlador). A continuación se describen las fallas que se presentan en la aplicación:

CVE-2015-5143. Esta vulnerabilidad se presenta por un error en las ‘session backends’, donde un atacante remoto no autenticado conseguiría crear nuevos registros de sesión, al enviar múltiples solicitudes repetidas con claves de sesiones desconocidas, lo que ocasionaría el llenado del almacenamiento de la sesión y causaría el desalojo de los registros de sesiones de otros usuarios, por lo anterior podría provocar la Negación de Servicio (DoS).

CVE-2015-5144. Falla provocada por errores en la validación de entradas, al usar expresiones regulares incorrectas en alguno de los validadores integrados de Django (django.core.validators.EmailValidator), lo que permitiría a un atacante remoto la inyección de cabeceras.

CVE-2015-5145. Esta última vulnerabilidad es generada por errores al validar
las URL’s manipuladas en 'django.core.validators.URLValidator', ya que se incluyen expresiones regulares que no evalúan correctamente ciertas entradas,el error en mención podría provocar una Negación de Servicio (DoS) debido al consumo excesivo de CPU.