Nieuwe releases van Python dichten twee securitylekken

Abonneer je gratis op Techzine!

De Python Software Foundation heeft onlangs met spoed de releases 3.9.2 en 3.8.8 uitgerold. Hiermee worden twee securityproblemen aangepakt.

De sneller uitgebrachte releases moeten een einde maken aan een remote code execution (RCE)-kwetsbaarheid met de identificatie CVE-2021-3177. Deze kwetsbaarheid kan eventueel leiden tot een machine offline halen.

Details kwetsbaarheid

Eerdere 3x-versies van de programmeertaal, tot en met Python versie 3.9.1, hebben een buffer overflow in PyCArg_repr in ctypes/callproc.c die tot een remote code execution kunnen leiden. De kwetsbaarheid treft python-applicaties die ‘floating-point numbers as untrusted input, as demonstrated by a 1e300 argument to c_double.from_param’ accepteren. Deze bug wordt geactiveerd als ‘sprintf’ onveilig wordt gebruikt. Dit kan tot een grote impact leiden omdat Python standaard wordt meegeleverd met vele Linux-distributies en Microsoft Windows 10.

Eindgebruikers van Python waren hiermee al bekend en hebben vervolgens hun zorgen geuit toen versies 3.9.2 en 3.8.8 werden aangekondigd.

Web cache poisioning

De tweede kwetsbaarheid die met de versnelde uitrol van de laatste Python-releases wordt opgelost, is CVE-2021-23336. Dit betreft een web cache poisioning-kwetsbaarheid die wordt geactiveerd door ‘defaulting the query args separator to &’, and allowing the user to choose a custom separato’.