Confira !!
Vulnerabilidade de segurança de python e python3 atualizada: o pacote python / cpython é vulnerável a envenenamento de cache da Web por meio de urllib.parse.parse_qsl e urllib.parse.parse_qs usando um vetor chamado camuflagem de parâmetro. Quando o invasor pode separar os parâmetros de consulta usando
MGASA-2021-0165 - Pacotes atualizados de python e python3 corrigem vulnerabilidade de segurança
Data de publicação: 02 de abril de 2021
URL: https://advisories.mageia.org/MGASA-2021-0165.html
Tipo: segurança
Versões afetadas da Mageia: 7, 8
CVE: CVE-2021-23336
Vulnerabilidade de segurança python e python3 atualizada:
O pacote python / cpython é vulnerável ao Web Cache Poisoning via
urllib.parse.parse_qsl e urllib.parse.parse_qs usando um vetor chamado
cloaking de parâmetro. Quando o invasor pode separar os parâmetros de consulta usando
um ponto e vírgula (;), eles podem causar uma diferença na interpretação do
solicitação entre o proxy (executando com configuração padrão) e o
servidor. Isso pode resultar em solicitações maliciosas sendo armazenadas em cache completamente
os seguros, já que o proxy geralmente não veria o ponto-e-vírgula como separador,
e, portanto, não o incluiria em uma chave de cache de um parâmetro sem chave
(CVE-2021-23336).
Referências:
- https://bugs.mageia.org/show_bug.cgi?id=28408
- https://blog.python.org/2021/02/python-392-and-388-are-now-available.html
- https://lists.fedoraproject.org/archives/list/ package-announce@lists.fedoraproject.org / thread / MNUN5SOMFL2BBKP6ZAICIIUPQKZDMGYO /
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23336
SRPMS:
- 7 / core / python3-3.7.10-1.mga7
- 7 / core / python-2.7.18-1.3.mga7
- 8 / core / python3-3.8.8-1.mga8
- 8 / core / python-2.7.18-7.1.mga8
Até a próxima !!
Nenhum comentário:
Postar um comentário