Dimostrare la necessità di aggiornare Django

8

La storia:

In uno dei nostri progetti, utilizziamo il framework web Django. Ma, al momento, siamo bloccati alla 1.6.11 (principalmente perché nel 1.7 il supporto per Python 2.6 è stato abbandonato - ci stiamo lavorando, ma sta procedendo molto lentamente) che non viene più mantenuto . Nessuna correzione per la sicurezza è stata applicata a 1.6 per un tempo piuttosto lungo.

Vorrei facilitare il processo di aggiornamento dimostrando alla direzione che abbiamo un problema da una prospettiva di sicurezza .

La domanda:

Potresti raccomandarmi una strategia / un modo per dimostrare / dimostrare che l'uso di Django 1.6 non è più sicuro?

    
posta alecxe 21.12.2016 - 20:35
fonte

3 risposte

7

Uso Django un buon affare e ho dovuto migrare da 1.6 a 1.7 (anche se era 2-3 anni fa). Durante quel periodo la differenza più importante in termini di sicurezza era django.contrib.messages , che non era a conoscenza dei soli cookie HTTPS in Django 1.6. In altre parole, se hai qualcosa di simile:

MESSAGE_STORAGE = 'django.contrib.messages.storage.cookie.CookieStorage'

Al posto della memorizzazione della sessione e il sito Web era configurato per inviare cookie solo per le connessioni HTTPS, tali cookie sarebbero comunque inviati su un semplice HTTP.

Nota aggiuntiva:

Il processo di rilascio di Django afferma che una volta rilasciata una versione 2 numeri più elevati la sicurezza le patch per una versione cessano, a meno che la versione specificata sia una LTS (versione di supporto a lungo termine). Pertanto Django 1.7 non riceve più alcun aggiornamento di sicurezza da quando è stato rilasciato Django 1.9 (e anche Django 1.10).

Dovresti mirare ad aggiornare a Django 1.8 dato che è una versione LTS di Django. Che riceverà aggiornamenti di sicurezza fino ad aprile 2018.

    
risposta data 21.12.2016 - 21:07
fonte
2

Non tutti gli aggiornamenti del framework sono dovuti alla sicurezza, ma se una versione non è più supportata, questo impone anche che non ci siano bug / hot-fix. Questo dovrebbe essere un motivo importante per l'aggiornamento indipendentemente dalle funzionalità "migliori" nelle versioni più recenti.

Aggiorna

Come argomento contrario, si potrebbe dire che l'aumento delle funzionalità aumenta la superficie di attacco o introduce nuovi bug.

    
risposta data 21.12.2016 - 21:03
fonte
2

CVE-2016-9013 and CVE-2015-5145 make the Django environment you're running susceptible to a denial of service attack and to information compromise; so poses a formidable information security risk.

Con Django 1.6.11 non ricevere più alcun aggiornamento di sicurezza non c'è modo di mitigare questi rischi (e altri rischi non menzionati qui).

    
risposta data 26.12.2016 - 21:53
fonte

Leggi altre domande sui tag