Django Brasil


Blog da Django Brasil


Arquivo de Outubro d 2009

Atualizações de segurança lançadas

Publicado m 15/10/2009 às 11h53

Hoje o projeto Django está emitindo um conjunto de lançamentos para remediar um problema de segurança. Este problema foi divulgado por terceiros numa lista de discussão de alto tráfego, e foram feitas tentativas para explorá-lo em instalações ativas do Django; desta forma, nós ignoramos nossa política normal de segurança e divulgação, para emitimos correções e atualizações imediatamente.

A biblioteca de formulários do Django inclui tipos de campos que executam validações, baseadas em expressões regulares, de endereços de email e URLs. Determinados endereços/URLs poderiam desencadear um caso patológido de performance nesta expressão regular, resultando num processo/thread do servidor sem resposta, consumindo CPU excessivamente por um período de tempo extenso. Se isso for deliberadamente provocado, poderia resultar num ataque de denial-of-service (negação de serviço).

Qualquer aplicação Django que faz uso dos campos EmailField ou URLField nas seguintes versões, é vulnerável:

  • Django development trunk
  • Django 1.1
  • Django 1.0

Resolução

A expressão regular utilizada para validação de endreço de email e URL foi modificada para eliminar o caso patológico de performance.

As correções foram aplicadas nos seguintes changesets:

  • Django development trunk: 11603.
  • Django 1.1 release series: 11604.
  • Django 1.0 release series: 11605.

Os seguintes releases foram emitidos imediatamente:

  • Django 1.1.1
  • Django 1.0.4

Estes releases estão disponívei na nossa página de download e no PyPI.

Como este problema está sendo explorado ativamente, todos os usuário que utilizam as versões do Django afetadas são fortemente encorajados a atualizar ou aplicar o patch apropriado imediatamente.

Nota sobre o relato de segurança

Como mensionado acima, este problema foi inicialmente divulgado publicamente numa lista de alto tráfego. Nós gostariámos de lembrar nossos usuários de que o canal correto para relatos de segurança é o email security@djangoproject.com. Isso dá tempo ao time de desenvolvimento para desenvolver uma solução e coordenar a divulgação, tanto para a comunidade Django como um todo, quanto para os vários colaboradores que mantêm e distribuem versões do Django empacotadas.

Quando deparar-se com um problema particular que impacta na segurança, nós pedimos a você que tenha um pouco de cuidado e entre em contato com security@djangoproject.com; nós ficaremos mais do que felizes em trabalhar com você na análise e avaliação de potenciais problemas de segurança.

Nota da comunidade Django Brasil

Caso você não saiba ingês, você pode procurar ajuda no grupo de localização e tradução do Django, ou mesmo na lista da Django Brasil, solicitando auxílio para reportar o problema. Se isso for acontecer, num primeiro momento não exponha o que está acontecendo, a fim de manter a privacidade na comunicação e segurança das outras pessoas.

Por James Bennett em 9 de Outrubro de 2009. Traduzido por Robson Mendonça em 10 de Outubro de 2009


Hospedado por APyB. Django Brasil é a comunidade brasileira de usuários do framework web Django. Django é uma marca registrada de Lawrence Journal-World.