Miércoles, 01 July 2020 09:50

Vulnerabilidad en Python

El CERT de Entelgy Innotec Security, avisa de la publicación de una vulnerabilidad en Python.

Nivel de peligrosidad: ALTO

CVE-2020-14422: Se ha publicado una vulnerabilidad en el conocido lenguaje de programación Python. Concretamente la vulnerabilidad afecta a Python 3 y está ubicada en la librería ipaddress.py cuando calcula de forma incorrecta los valores hash en las clases IPv4Interface e IPv6Interface.

Las funciones hash de estas clases siempre devuelven cadenas de 32 y 64 caracteres respectivamente. Si IPv4Interface o IPv6Interface se colocan en un diccionario, por ejemplo en un servidor que almacena direcciones IP, esto provocará colisiones hash, lo que a su vez puede conducir a situaciones de denegación de servicio (DoS).

La base de datos del NIST ha asignado al CVE-2020-14422 una criticidad de 7.5 (CVSSv3) y hasta la fecha no se conoce actividad dañina en la red, ni la disponibilidad de exploits que aprovechen esta vulnerabilidad. 

Recursos afectados:

  • Python en sus versiones 3.10, 3.9, 3.8, 3.7, 3.6 y 3.5.

Solución a la vulnerabilidad:

Según los investigadores que han reportado el fallo, la solución es simple y pasa por modificar ciertos valores en la librería ipaddress.py. Para ello, han publicado un parche que soluciona el problema, disponible desde el siguiente enlace:

Recomendaciones:

El CERT de Entelgy Innotec Security, recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad o actualizaciones en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento no se conocen medidas de mitigación alternativas a esta vulnerabilidad en caso de no ser posible aplicar el parche descrito.

Referencias:

Visto 191 veces

Avda. Llano Castellano, 43
28034 Madrid
+34 917 281 504
innotec.security


InnoTec

Sobre nosotros

InnoTec nace en 2002 como empresa especializada en ciberseguridad, inteligencia, prevención y gestión de riesgos. Actualmente contamos con una plantilla de más de 350 profesionales altamente cualificados en España, y estamos presentes en los principales mercados de Latinoamérica y Estados Unidos.

Ampliar información
Presentación corporativa