Popis
V CPythonu (Python) bylo nalezeno několik závažných chyb zabezpečení před 2.7.12, 3.x před 3.4.5 a 3.5.x před 3.5.2. Uživatelé se zlými úmysly mohou tuto chybu zabezpečení zneužít k vynechání ochrany TLS, zavádění libovolných záhlaví HTTP nebo k neurčitému vlivu.
Níže je uveden kompletní seznam chyb zabezpečení:
- Chyba zabezpečení CRLF může být využita k vložení libovolných hlaviček HTTP pomocí sekvencí CRLF do adresy URL.
- Celkový přetečení lze využít pomocí hodnoty záporné velikosti dat, která spouští přetečení vyrovnávací paměti založené na hromadě.
- Odstranění zranitelnosti TLS může být využíváno prostředníkem typu man-in-the-middleat, aby obešel ochranu TLS tím, že využil síťovou pozici mezi klientem a registrem k blokování příkazu StartTLS ("StartTLS stripping attack").
Technické údaje
- Chyba zabezpečení CRLF je v části HTTPConnection.putheader v urllib2 a urllib v CPythonu.
- Integer přetečení se objeví v funkci get_data v souboru zipimport.c z knihovny smtplib v CPythonu.
- Odstranění zranitelnosti TLS se vyskytuje v knihovně smtplib v CPythonu.
Oficiální doporučení
Související produkty
seznam CVE
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com
Našli jste v popisu této chyby zabezpečení nepřesnost? Dej nám vědět!