Demostrando la necesidad de actualizar Django

8

La historia:

En uno de nuestros proyectos, estamos usando el framework web Django. Pero, actualmente estamos bloqueados en 1.6.11 (principalmente porque en 1.7 se abandonó el soporte de Python 2.6, estamos trabajando en ello, pero va muy lento), que no se mantiene más . No se han aplicado correcciones de seguridad a 1.6 durante bastante tiempo.

Me gustaría facilitar el proceso de actualización demostrando a la administración que tenemos un problema desde una perspectiva de seguridad .

La pregunta:

¿Podrías recomendarme una estrategia / forma de demostrar / probar que usar Django 1.6 ya no es seguro?

    
pregunta alecxe 21.12.2016 - 20:35
fuente

3 respuestas

7

Utilizo mucho Django y tuve que migrar de 1.6 a 1.7 (aunque hace unos 2-3 años). Durante ese tiempo, la diferencia más importante en términos de seguridad fue django.contrib.messages , que no tenía conocimiento de las cookies HTTPS solo en Django 1.6. En otras palabras, si tuvieras algo como:

MESSAGE_STORAGE = 'django.contrib.messages.storage.cookie.CookieStorage'

En lugar de almacenamiento de sesión, y el sitio web se configuró para enviar cookies solo para conexiones HTTPS, entonces esas cookies se enviarían a través de HTTP simple de todos modos.

Nota adicional:

El proceso de lanzamiento de Django indica que una vez que se publique una versión 2 más alta, la seguridad los parches para una versión cesan, a menos que la versión dada sea un LTS (versión de soporte de larga duración) Por lo tanto, Django 1.7 ya no recibe actualizaciones de seguridad desde que se lanzó Django 1.9 (e incluso Django 1.10).

Debería intentar actualizar a Django 1.8 ya que es una versión LTS de Django. Que recibirá actualizaciones de seguridad 'hasta abril de 2018.

    
respondido por el grochmal 21.12.2016 - 21:07
fuente
2

No todas las actualizaciones de la infraestructura se deben a la seguridad, pero si una versión ya no es compatible, esto también impide que no haya errores ni correcciones. Esa debería ser una razón importante para actualizar, independientemente de las características "mejores" en las versiones más recientes.

Actualizar

Como argumento contrario, se podría decir que el aumento de la funcionalidad aumenta la superficie de ataque o introduce nuevos errores.

    
respondido por el Yorick de Wid 21.12.2016 - 21:03
fuente
2
  

CVE-2016-9013 y CVE-2015-5145 hace que el entorno Django que está ejecutando sea susceptible a un ataque de denegación de servicio y a información compromiso ; por lo que plantea un formidable riesgo para la seguridad de la información.

Como Django 1.6.11 ya no recibe actualizaciones de seguridad, no hay manera de mitigar estos riesgos (y otros riesgos que no se mencionan aquí).

    
respondido por el user34445 26.12.2016 - 21:53
fuente

Lea otras preguntas en las etiquetas