Python sérülékenységek

CH azonosító

CH-1450

Felfedezés dátuma

2008.08.04.

Súlyosság

Közepes

Érintett rendszerek

Python
Python Software Foundation

Érintett verziók

Python Software Foundation Python 2.4.x , 2.5.x

Összefoglaló

A Python több olyan sérülékenységét is azonosították, melyeket a támadók szolgáltatás megtagadás okozására vagy a sérülékeny rendszer feltörésére használhatnak ki.

Leírás

A Python több olyan sérülékenységét is azonosították, melyeket a támadók szolgáltatás megtagadás okozására vagy a sérülékeny rendszer feltörésére használhatnak ki.

  1. Több fő modulban is van egész túlcsordulási hiba, pl. a stringobject,
    unicodeobject, bufferobject, longobject, tupleobject, stropmodule, gcmodule és a
    mmapmodule modulban.
  2. A hashlib modul egész túlcsordulás hibája a titkosítás feloldását megbízhatatlanná
    teszi.
  3. Az unicode stringek feldolgozásakor fellépő egész túlcsordulási hibát kihasználva
    puffer túlcsordulás okozható 32 bites rendszereken.
  4. Az olyan architektúrákon, melyeken nincs “vsnprintf()” függvény, a PyOS_vsnprintf()
    függvénynek egész túlcsordulás hibája van.
  5. A PyOS_vsnprintf() függvénynek átadott nulla hosszúságú string egész alulcsordulást okoz, amely a memória tartalom megváltozását eredményezheti.

Némelyik sérülékenység sikeres kiaknázása az alkalmazás összeomlását idézheti elő vagy tetszőleges kód futtatását teheti lehetővé, bár ez függ a Python alkalmazás kivitelezésétől.

Megoldás

Telepítse a javítócsomagokat

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-4632 – Samsung MagicINFO 9 Server Path Traversal sérülékenysége
CVE-2023-38950 – ZKTeco BioTime Path Traversal sérülékenysége
CVE-2025-27920 – Srimax Output Messenger Directory Traversal sérülékenysége
CVE-2025-4428 – Ivanti Endpoint Manager Mobile (EPMM) Code Injection sérülékenysége
CVE-2025-4427 – Ivanti Endpoint Manager Mobile (EPMM) Authentication Bypass sérülékenysége
CVE-2024-27443 – Synacor Zimbra Collaboration Suite (ZCS) Cross-Site Scripting (XSS) sérülékenysége
CVE-2024-11182 – MDaemon Email Server Cross-Site Scripting (XSS) sérülékenysége
CVE-2025-42999 – SAP NetWeaver Deserialization sérülékenysége
CVE-2024-12987 – DrayTek Vigor Routers OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »