Django Software Foundation ha lanzado Django 1.4.8, Django 1.5.4 y Django 1.6 beta 4. Se recomienda que los usuarios descarguen las últimas versiones lo más pronto posible debido a una vulnerabilidad que puede ser utilizada para lanzar ataques de denegación de servicio (DOS) contra el marco de autenticación.
Los expertos aconsejan a menudo a los usuarios establecer contraseñas largas y fuertes para asegurarse de que sean difíciles de adivinar o descifrar. Sin embargo, a veces no se recomienda elegir contraseñas demasiado largas.
En el caso de Django, se utilizan hashes PBKDF2 para asegurarse de que las contraseñas sean difíciles de crackear. Aunque éste sea un método complejo, también tiene sus desventajas.
"Django no impone ningún valor máximo para la longitud de la contraseña en texto plano, lo que significa que un atacante puede enviar contraseñas arbitrariamente grandes – y seguramente ineficientes -, obligando al servidor que ejecuta Django realizar el caro cómputo de hash resultante en un intento por verificar la contraseña", dice el aviso de Django.
"Una contraseña con un tamaño de un megabyte, por ejemplo, requerirá aproximadamente un minuto de cómputo para ser comprobada si utilizas el hasher PBKDF2. Esto permite ataques de denegación de servicio mediante el envío repetido de contraseñas grandes, blocando los recursos del servidor en el proceso de comprobación de las haches correspondientes."
Para solucionar este problema, el marco de autenticación ha sido configurado para rechazar automáticamente los intentos de inicio de sesión para contraseñas que exceden 4096 bytes.
La vulnerabilidad (CVE-2013-1443) afecta a la rama principal de desarrollo de Django, Django 1.4, 1.5 y 1.6, que se encuentra actualmente en estado beta.
Los desarrolladores de Django advierten que también es fundamental actualizar a la última versión porque los detalles de la vulnerabilidad no han sido reportados directamente a la empresa. En cambio, se hicieron disponibles al público en la lista de envío de desarrolladores de django.
Se aconseja que los expertos en seguridad que identifiquen fallos de Django los divulguen por correo electrónico a security (arroba) djangoproject (punto) com.
http://news.softpedia.es/Las-contrasenas-demasiado-largas-llevan-a-ataques-DOS-advierten-los-desarrolladores-de-Django-383727.html