[TLP:CLEAR] Python opravuje niekoľko zraniteľností
Python verziami 3.13.0RC2, 3.12.6, 3.11.10, 3.10.15, 3.9.20, a 3.8.20 opravuje niekoľko zraniteľností, pričom viaceré z nich nemajú pridelený identifikátor CVE [1]. Najzávažnejšie zraniteľnosti sú uvedené nižšie. Zraniteľnosti zatiaľ opravil Slackware [3]. Debian a Ubuntu opravilo iba niektoré zraniteľnosti v niektorých vydaniach. Gentoo má niektoré opravené verzie dostupné v stabilnej verzii a niektoré v testovacej verzii [4].
Vzdialenému neautentizovanému útočníkovi je umožnené neoprávnene sa vydávať za privátnu alebo globálnu IP adresu [1].
Zraniteľnosť sa nachádza v produkte Python vo verziách (>=3.12 AND <3.12.6) OR (>=3.11 AND <3.11.10) OR (>=3.10 AND <3.10.15) OR (>=3.9 AND <3.9.20) OR (>=3.8 AND <3.8.20).
Viac informácií:
- CVE-2024-4032 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-697: Incorrect Comparison at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 7. 9. 2024.
Autentizovanému lokálnemu útočníkovi je umožnené získať zvýšené oprávnenia do priečinkov. Zneužitie zraniteľnosti je možné iba na systémoch Windows a iba v prípade, že bolo menené umiestnenie dočasného priečinku [1][2].
Zraniteľnosť sa nachádza v produkte Python vo verziách (>=3.12 AND <3.12.6) OR (>=3.11 AND <3.11.10) OR (>=3.10 AND <3.10.15) OR (>=3.9 AND <3.9.20) OR (>=3.8 AND <3.8.20).
Viac informácií:
- CVE-2024-4030 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-276: Incorrect Default Permissions at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 7. 9. 2024.
Autentizovanému lokálnemu útočníkovi je umožnené neoprávnene pristupovať do pamäte, čím môže dôjsť k poškodeniu dát, neoprávnenému čítaniu informácií, DoS útoku a potenciálne k spúšťaniu kódu [1].
Zraniteľnosť sa nachádza v produkte Python vo verziách (>=3.12 AND <3.12.6) OR (>=3.11 AND <3.11.10) OR (>=3.10 AND <3.10.15) OR (>=3.9 AND <3.9.20) OR (>=3.8 AND <3.8.20).
Viac informácií:
- CWE-843: Access of Resource Using Incompatible Type ('Type Confusion') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 7. 9. 2024.
Odkazy
- [1] https://pythoninsider.blogspot.com/2024/09/python-3130rc2-3126-31110-31015-3920.html
- [2] https://nvd.nist.gov/vuln/detail/CVE-2024-4030
- [3] http://www.slackware.com/security/viewer.php?l=slackware-security&y=2024&m=slackware-security.492660
- [4] https://packages.gentoo.org/packages/dev-lang/python