中危 Django up to 1.6 Authentication Framework Large Password 拒绝服务漏洞

CVE编号

CVE-2013-1443

利用情况

暂无

补丁情况

官方补丁

披露时间

2013-09-24

漏洞描述

Django是一款开放源代码的Web应用框架，由Python写成。 当计算提交密码的哈希时，django.contrib.auth存在一个错误，允许攻击者利用漏洞提交超大的密码可使应用消耗大量资源，造成拒绝服务攻击。

解决建议

Django 1.4.8或1.5.4已经修改该漏洞，建议用户下载更新：https://www.djangoproject.com

参考链接
http://lists.opensuse.org/opensuse-updates/2013-10/msg00015.html
http://lists.opensuse.org/opensuse-updates/2013-11/msg00035.html
http://python.6.x6.nabble.com/Set-a-reasonable-upper-bound-on-password-length...
http://www.debian.org/security/2013/dsa-2758
https://www.djangoproject.com/weblog/2013/sep/15/security/

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	djangoproject	django	1.4	-
	运行在以下环境
	应用	djangoproject	django	1.4.1	-
	运行在以下环境
	应用	djangoproject	django	1.4.2	-
	运行在以下环境
	应用	djangoproject	django	1.4.4	-
	运行在以下环境
	应用	djangoproject	django	1.4.5	-
	运行在以下环境
	应用	djangoproject	django	1.4.6	-
	运行在以下环境
	应用	djangoproject	django	1.4.7	-
	运行在以下环境
	应用	djangoproject	django	1.5	-
	运行在以下环境
	应用	djangoproject	django	1.5.1	-
	运行在以下环境
	应用	djangoproject	django	1.5.2	-
	运行在以下环境
	应用	djangoproject	django	1.5.3	-
	运行在以下环境
	应用	djangoproject	django	1.6	-
	运行在以下环境
	系统	debian_10	python-django	*		Up to (excluding) 1.5.4-1
	运行在以下环境
	系统	debian_11	python-django	*		Up to (excluding) 1.5.4-1
	运行在以下环境
	系统	debian_12	python-django	*		Up to (excluding) 1.5.4-1
	运行在以下环境
	系统	debian_6	python-django	*		Up to (excluding) 1.2.3-3+squeeze8
	运行在以下环境
	系统	debian_7	python-django	*		Up to (excluding) 1.4.5-1+deb7u4
	运行在以下环境
	系统	debian_sid	python-django	*		Up to (excluding) 1.5.4-1
	运行在以下环境
	系统	fedora_EPEL_6	Django14-doc	*		Up to (excluding) 1.4.8-1.el6
	运行在以下环境
	系统	ubuntu_12.04.5_lts	python-django	*		Up to (excluding) 1.3.1-4ubuntu1.8

阿里云评分 6.9

• 攻击路径 远程
• 攻击复杂度 容易
• 权限要求 无需权限
• 影响范围 全局影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 DoS
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-287	认证机制不恰当

Exp相关链接

- avd.aliyun.com