elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Las contraseñas demasiado largas llevan a ataques DOS, advierten los ....
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Las contraseñas demasiado largas llevan a ataques DOS, advierten los ....  (Leído 1,709 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.663



Ver Perfil WWW
Las contraseñas demasiado largas llevan a ataques DOS, advierten los ....
« en: 18 Septiembre 2013, 02:37 am »

Django Software Foundation ha lanzado Django 1.4.8, Django 1.5.4 y Django 1.6 beta 4. Se recomienda que los usuarios descarguen las últimas versiones lo más pronto posible debido a una vulnerabilidad que puede ser utilizada para lanzar ataques de denegación de servicio (DOS) contra el marco de autenticación.

Los expertos aconsejan a menudo a los usuarios establecer contraseñas largas y fuertes para asegurarse de que sean difíciles de adivinar o descifrar. Sin embargo, a veces no se recomienda elegir contraseñas demasiado largas.

En el caso de Django, se utilizan hashes PBKDF2 para asegurarse de que las contraseñas sean difíciles de crackear. Aunque éste sea un método complejo, también tiene sus desventajas.

"Django no impone ningún valor máximo para la longitud de la contraseña en texto plano, lo que significa que un atacante puede enviar contraseñas arbitrariamente grandes – y seguramente ineficientes -, obligando al servidor que ejecuta Django realizar el caro cómputo de hash resultante en un intento por verificar la contraseña", dice el aviso de Django.

"Una contraseña con un tamaño de un megabyte, por ejemplo, requerirá aproximadamente un minuto de cómputo para ser comprobada si utilizas el hasher PBKDF2. Esto permite ataques de denegación de servicio mediante el envío repetido de contraseñas grandes, blocando los recursos del servidor en el proceso de comprobación de las haches correspondientes."

Para solucionar este problema, el marco de autenticación ha sido configurado para rechazar automáticamente los intentos de inicio de sesión para contraseñas que exceden 4096 bytes.

La vulnerabilidad (CVE-2013-1443) afecta a la rama principal de desarrollo de Django, Django 1.4, 1.5 y 1.6, que se encuentra actualmente en estado beta.

Los desarrolladores de Django advierten que también es fundamental actualizar a la última versión porque los detalles de la vulnerabilidad no han sido reportados directamente a la empresa. En cambio, se hicieron disponibles al público en la lista de envío de desarrolladores de django.

Se aconseja que los expertos en seguridad que identifiquen fallos de Django los divulguen por correo electrónico a security (arroba) djangoproject (punto) com.

http://news.softpedia.es/Las-contrasenas-demasiado-largas-llevan-a-ataques-DOS-advierten-los-desarrolladores-de-Django-383727.html


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
sesiones largas de audio
Multimedia
valh5 0 1,260 Último mensaje 6 Junio 2006, 20:58 pm
por valh5
ICS-CERT y FDA advierten acerca de fallos de contraseñas codificadas en 300 ...
Noticias
wolfbcn 0 967 Último mensaje 15 Junio 2013, 02:10 am
por wolfbcn
Los expertos advierten que unos anuncios de Bing llevan al malware Sirefef
Noticias
wolfbcn 0 1,357 Último mensaje 11 Octubre 2013, 02:28 am
por wolfbcn
Note 4 mueswtra claves wifi demasiado largas
Dispositivos Móviles (PDA's, Smartphones, Tablets)
nocturnio 1 3,239 Último mensaje 19 Septiembre 2017, 12:36 pm
por alr7521
Ataques de contraseñas
Dudas Generales
Darkbollo 9 2,893 Último mensaje 4 Septiembre 2018, 11:53 am
por #!drvy
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines