Una vulnerabilidad de Python podría permitir ataques

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una vulnerabilidad de Python podría permitir ataques de ejecución remota de código

Una grave vulnerabilidad de seguridad afectó al lenguaje Python que podría conducir a ataques de ejecución remota de código.
Junto con esto, Python Software Foundation (PSF) ha corregido un error más con sus últimas actualizaciones.

Vulnerabilidad de Python que desencadena ataques RCE

Según se informa, dos vulnerabilidades de seguridad diferentes afectaron las versiones de Python existentes y provocaron graves consecuencias.

Uno de ellos, CVE-2021-3177, es una vulnerabilidad de desbordamiento de búfer que técnicamente podría conducir a la ejecución remota de código en aplicaciones Python.

Según la descripción de la vulnerabilidad,

"Python 3.xa 3.9.1 tiene un desbordamiento de búfer en PyCArg_repr en _ctypes / callproc.c, que puede llevar a la ejecución remota de código en ciertas aplicaciones de Python que aceptan números de punto flotante como entrada no confiable, como lo demuestra un argumento 1e300 para c_double .desde_param. Esto ocurre porque sprintf se usa de manera insegura."

Sin embargo, Python Software Foundation (PSF), en su publicación de blog, afirma que este error puede no desencadenar exactamente RCE en la explotación práctica, porque la explotación exitosa requiere que se cumplan muchas otras condiciones.

Sin embargo, esto aún podría conducir a ataques de denegación de servicio.

Respaldando esta observación, RedHat también ha declarado lo mismo en su aviso.

"Las aplicaciones que usan ctypes sin validar cuidadosamente la entrada que se le pasa pueden ser vulnerables a esta falla, lo que permitiría a un atacante desbordar un búfer en la pila y bloquear la aplicación. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema."

Además de este, una vulnerabilidad de envenenamiento de caché web, CVE-2021-23336, también afectó el idioma.

Lanzamiento de PSF "The Fixes"

PSF ha abordado recientemente ambos errores con el lanzamiento de Python 3.8.8 y 3.9.2.

Tuvieron que acelerar el lanzamiento debido a la presión de los usuarios que solicitaban una solución de seguridad para CVE-2021-3177.

Esto tomó un poco por sorpresa, ya que se creía que el contenido de seguridad lo seleccionan los distribuidores posteriores de la fuente de cualquier manera, y las versiones de RC proporcionan instaladores para todos los demás interesados en actualizar.

Resulta que los candidatos de lanzamiento son en su mayoría invisibles para la comunidad y, en muchos casos, no se pueden usar debido a los procesos de actualización que tienen los usuarios.

De todos modos, los usuarios ahora deberían actualizar a las últimas versiones de Python para obtener las correcciones de seguridad.

En cuanto a las versiones futuras, PSF ha confirmado que la versión final de Python 3.8 llegará en mayo de 2021.
Mientras que Python 3.9.3 llegará también en mayo de 2021.

Fuente:
Latest hacking news
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta