Python Web Form sérülékenységek

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Python 2.6.x
Python 2.7.x
Python 3.x

Összefoglaló

A Python több sérülékenységét jelentették, amelyeket kihasználva a támadók érzékeny információkat szivárogtathatnak ki, visszaélhetnek a felhasználó munkafolyamatával és szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak.

Leírás

1. Egy hiba a hash generáló függvényben, amikor a közzétett bejegyzésekből hash-el és amikor frissíti a hash táblát kihasználható hash ütközések okozására, amely magas processzor használatot eredményez. Mindehhez speciálisan erre a célra készített HTTP POST kérések szükségesek.
2. Egy tervezési hiba található az SSL 3.0 és a TLS 1.0 protokollok implementációjában.
   A sérülékenységről bővebb információ az alábbi oldalon olvasható:
   CERT-Hungary CH-5635
3. Egy hiba bizonyos hash függvényekkel kapcsolatban az expat-nak, ami kihasználható hash ütközések okozására, amely magas processzor használatot eredményez.
   A sérülékenységről bővebb információ az alábbi oldalon olvasható:
   CERT-Hungary CH-7585

A sérülékenységeket a 2.6.8, 2.7.3, 3.1.5, és 3.2.3. előtti verziókban jelentették.

Megoldás

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Gyártói referencia: www.python.org
Gyártói referencia: www.python.org
Gyártói referencia: www.python.org
Gyártói referencia: www.python.org
Gyártói referencia: bugs.python.org
Gyártói referencia: bugs.python.org
Gyártói referencia: bugs.python.org
Egyéb referencia: www.nruns.com
SECUNIA 48347
SECUNIA 36425
SECUNIA 46168
CERT-Hungary CH-5635
CERT-Hungary CH-7585
CVE-2011-3389 - NVD CVE-2011-3389
CVE-2012-0876 - NVD CVE-2012-0876
CVE-2012-1150 - NVD CVE-2012-1150