CVE-2020-4071

Versões do django-basic-auth-ip-whitelist anteriores à 0.3.4

Existe um potencial ataque de temporização em sites onde a autenticação básica é usada ou configurada, ou seja, onde BASIC AUTH LOGIN e BASIC AUTH PASSWORD estão definidos. A comparação de strings entre as credenciais configuradas e as fornecidas pelos usuários é realizada por meio de uma comparação caractere a caractere, permitindo que um invasor cronometre a validação de diferentes nomes de usuário e senhas e use esse conhecimento para descobrir as credenciais válidas. Entende-se que esse ataque não seja realista na Internet, mas pode ser realizado a partir de redes locais onde o site está hospedado. Sites protegidos apenas por lista de endereços IP permitidos não são afetados por esse problema.

Atualize para a versão 0.3.4 o mais rápido possível e altere o nome de usuário e a senha de autenticação básica configurados em um projeto Django que utilize este pacote.

Como solução alternativa temporária, considere interromper o uso da autenticação básica e utilizar apenas o componente de lista de endereços IP permitidos, não definindo BASIC AUTH LOGIN e BASIC AUTH PASSWORD nas configurações do projeto Django.