Ve standardní knihovně Pythonu ipaddress byla objevena chyba CVE-2021–29921, která je podobná chybě v knihovně netmask v Perlu a npm objevené v březnu tohoto roku. Jde o špatnou validaci IP4 adres, kde číslo začínající 0 má být bráno jako osmičkové. Tedy například 010.8.8.8 má být 8.8.8.8 Kdežto knihovna ipaddress v Pythonu 3.8.0 – 3.10 zahazuje nuly na začátku a vidí tedy 10.8.8.8. Před verzí 3.8.0 adresa, která obsahovala osmičková a decimální čísla, způsobila chybu.
Nyní je možné nesprávné validace zneužít k SSRF (Server-Side Request Forgery), RFI (Remote File Inclusion) či LFI (Local File Inclusion). Na odstranění chyby se pracuje.
(zdroj: bleepingcomputer)
ČLÁNKY DO MAILU