Hlavní navigace

Chyba v Pythonu v knihovně ipaddress

Sdílet

Jan Fikar 3. 5. 2021
Python Autor: Python

Ve standardní knihovně Pythonu ipaddress byla objevena chyba CVE-2021–29921, která je podobná chybě v knihovně netmask v Perlu a npm objevené v březnu tohoto roku. Jde o špatnou validaci IP4 adres, kde číslo začínající 0 má být bráno jako osmičkové. Tedy například 010.8.8.8 má být 8.8.8.8 Kdežto knihovna ipaddress v Pythonu 3.8.0 – 3.10 zahazuje nuly na začátku a vidí tedy 10.8.8.8. Před verzí 3.8.0 adresa, která obsahovala osmičková a decimální čísla, způsobila chybu.

Nyní je možné nesprávné validace zneužít k SSRF (Server-Side Request Forgery), RFI (Remote File Inclusion) či LFI (Local File Inclusion). Na odstranění chyby se pracuje.

(zdroj: bleepingcomputer)

Našli jste v článku chybu?