CH azonosító
CH-6519Angol cím
Python Web Form Multiple VulnerabilitiesFelfedezés dátuma
2012.03.11.Súlyosság
AlacsonyÉrintett rendszerek
PythonPython Software Foundation
Érintett verziók
Python 2.6.x
Python 2.7.x
Python 3.x
Összefoglaló
A Python több sérülékenységét jelentették, amelyeket kihasználva a támadók érzékeny információkat szivárogtathatnak ki, visszaélhetnek a felhasználó munkafolyamatával és szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak.
Leírás
- Egy hiba a hash generáló függvényben, amikor a közzétett bejegyzésekből hash-el és amikor frissíti a hash táblát kihasználható hash ütközések okozására, amely magas processzor használatot eredményez. Mindehhez speciálisan erre a célra készített HTTP POST kérések szükségesek.
- Egy tervezési hiba található az SSL 3.0 és a TLS 1.0 protokollok implementációjában.
A sérülékenységről bővebb információ az alábbi oldalon olvasható:
CERT-Hungary CH-5635 - Egy hiba bizonyos hash függvényekkel kapcsolatban az expat-nak, ami kihasználható hash ütközések okozására, amely magas processzor használatot eredményez.
A sérülékenységről bővebb információ az alábbi oldalon olvasható:
CERT-Hungary CH-7585
A sérülékenységeket a 2.6.8, 2.7.3, 3.1.5, és 3.2.3. előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Deny of service (Szolgáltatás megtagadás)Hijacking (Visszaélés)
Input manipulation (Bemenet módosítás)
Race condition (Versenyhelyzet)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.python.org
Gyártói referencia: www.python.org
Gyártói referencia: www.python.org
Gyártói referencia: www.python.org
Gyártói referencia: bugs.python.org
Gyártói referencia: bugs.python.org
Gyártói referencia: bugs.python.org
Egyéb referencia: www.nruns.com
SECUNIA 48347
SECUNIA 36425
SECUNIA 46168
CERT-Hungary CH-5635
CERT-Hungary CH-7585
CVE-2011-3389 - NVD CVE-2011-3389
CVE-2012-0876 - NVD CVE-2012-0876
CVE-2012-1150 - NVD CVE-2012-1150