Python Web Form sérülékenységek


2012. március 12. 13:47

CH azonosító

CH-6519

Angol cím

Python Web Form Multiple Vulnerabilities

Felfedezés dátuma

2012.03.11.

Súlyosság

Alacsony

Érintett rendszerek

Python
Python Software Foundation

Érintett verziók

Python 2.6.x
Python 2.7.x
Python 3.x

Összefoglaló

A Python több sérülékenységét jelentették, amelyeket kihasználva a támadók érzékeny információkat szivárogtathatnak ki, visszaélhetnek a felhasználó munkafolyamatával és szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak.

Leírás

  1. Egy hiba a hash generáló függvényben, amikor a közzétett bejegyzésekből hash-el és amikor frissíti a hash táblát kihasználható hash ütközések okozására, amely magas processzor használatot eredményez. Mindehhez speciálisan erre a célra készített HTTP POST kérések szükségesek.
  2. Egy tervezési hiba található az SSL 3.0 és a TLS 1.0 protokollok implementációjában.
    A sérülékenységről bővebb információ az alábbi oldalon olvasható:
    CERT-Hungary CH-5635
  3. Egy hiba bizonyos hash függvényekkel kapcsolatban az expat-nak, ami kihasználható hash ütközések okozására, amely magas processzor használatot eredményez.
    A sérülékenységről bővebb információ az alábbi oldalon olvasható:
    CERT-Hungary CH-7585

A sérülékenységeket a 2.6.8, 2.7.3, 3.1.5, és 3.2.3. előtti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Hijacking (Visszaélés)
Input manipulation (Bemenet módosítás)
Race condition (Versenyhelyzet)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.python.org
Gyártói referencia: www.python.org
Gyártói referencia: www.python.org
Gyártói referencia: www.python.org
Gyártói referencia: bugs.python.org
Gyártói referencia: bugs.python.org
Gyártói referencia: bugs.python.org
Egyéb referencia: www.nruns.com
SECUNIA 48347
SECUNIA 36425
SECUNIA 46168
CERT-Hungary CH-5635
CERT-Hungary CH-7585
CVE-2011-3389 - NVD CVE-2011-3389
CVE-2012-0876 - NVD CVE-2012-0876
CVE-2012-1150 - NVD CVE-2012-1150

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-4632 – Samsung MagicINFO 9 Server Path Traversal sérülékenysége
CVE-2023-38950 – ZKTeco BioTime Path Traversal sérülékenysége
CVE-2025-27920 – Srimax Output Messenger Directory Traversal sérülékenysége
CVE-2025-4428 – Ivanti Endpoint Manager Mobile (EPMM) Code Injection sérülékenysége
CVE-2025-4427 – Ivanti Endpoint Manager Mobile (EPMM) Authentication Bypass sérülékenysége
CVE-2024-27443 – Synacor Zimbra Collaboration Suite (ZCS) Cross-Site Scripting (XSS) sérülékenysége
CVE-2024-11182 – MDaemon Email Server Cross-Site Scripting (XSS) sérülékenysége
CVE-2025-42999 – SAP NetWeaver Deserialization sérülékenysége
CVE-2024-12987 – DrayTek Vigor Routers OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »