CH azonosító
CH-10197Angol cím
Python Hash Collision Denial of Service VulnerabilityFelfedezés dátuma
2013.12.17.Súlyosság
KözepesÖsszefoglaló
A Python sérülékenysége vált ismertté, amelyet kihasználva rosszindulatú támadók szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.
Leírás
A sérülékenységet a hash generáló függvény hibája okozza, ami a form bejegyzések (post) hash-elése és a hash tábla frissítése közben jelentkezik. Ez kihasználható hash ütközés előidézésére egy HTTP POST kérésben beküldött, speciálisan formázott űrlap (form) segítségével, ami magas CPU használatot eredményez.
A sérülékenységet a CVE-2012-1150-hez kiadott, nem tökéletes javítás okozza.
További információ az alábbi hivatkozáson található:
Több információ:
CERT-Hungary CH-6519 (#1)
A sérülékenység a 2.7 és 3.3 verziókat érinti.
Megoldás
IsmeretlenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: bugs.python.org
CVE-2013-7040 - NVD CVE-2013-7040
SECUNIA 55955
CERT-Hungary CH-6519