[TLP:CLEAR] Python opravuje niekoľko zraniteľností

Python verziami 3.13.0RC2, 3.12.6, 3.11.10, 3.10.15, 3.9.20, a 3.8.20 opravuje niekoľko zraniteľností, pričom viaceré z nich nemajú pridelený identifikátor CVE [1]. Najzávažnejšie zraniteľnosti sú uvedené nižšie. Zraniteľnosti zatiaľ opravil Slackware [3]. Debian a Ubuntu opravilo iba niektoré zraniteľnosti v niektorých vydaniach. Gentoo má niektoré opravené verzie dostupné v stabilnej verzii a niektoré v testovacej verzii [4].

Python - wrong IP type (CVE-2024-4032)

Vzdialenému neautentizovanému útočníkovi je umožnené neoprávnene sa vydávať za privátnu alebo globálnu IP adresu [1].

Zraniteľnosť sa nachádza v produkte Python vo verziách (>=3.12 AND <3.12.6) OR (>=3.11 AND <3.11.10) OR (>=3.10 AND <3.10.15) OR (>=3.9 AND <3.9.20) OR (>=3.8 AND <3.8.20).

Viac informácií:

Zraniteľnosť bola verejne oznámená 7. 9. 2024.

Python - incorrect directory permissions (CVE-2024-4030)

Autentizovanému lokálnemu útočníkovi je umožnené získať zvýšené oprávnenia do priečinkov. Zneužitie zraniteľnosti je možné iba na systémoch Windows a iba v prípade, že bolo menené umiestnenie dočasného priečinku [1][2].

Zraniteľnosť sa nachádza v produkte Python vo verziách (>=3.12 AND <3.12.6) OR (>=3.11 AND <3.11.10) OR (>=3.10 AND <3.10.15) OR (>=3.9 AND <3.9.20) OR (>=3.8 AND <3.8.20).

Viac informácií:

Zraniteľnosť bola verejne oznámená 7. 9. 2024.

Python - type confusion

Autentizovanému lokálnemu útočníkovi je umožnené neoprávnene pristupovať do pamäte, čím môže dôjsť k poškodeniu dát, neoprávnenému čítaniu informácií, DoS útoku a potenciálne k spúšťaniu kódu [1].

Zraniteľnosť sa nachádza v produkte Python vo verziách (>=3.12 AND <3.12.6) OR (>=3.11 AND <3.11.10) OR (>=3.10 AND <3.10.15) OR (>=3.9 AND <3.9.20) OR (>=3.8 AND <3.8.20).

Viac informácií:

  • CWE-843: Access of Resource Using Incompatible Type ('Type Confusion') at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 7. 9. 2024.


Publikoval Martin Krajči dňa 17. 9. 2024.

CESNET CERTS Logo