Vulnerabilidad en python (CVE-2018-1061)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/06/2018
Última modificación:
07/11/2023
Descripción
python en versiones anteriores a la 2.7.15, 3.4.9, 3.5.6rc1, 3.6.5rc1 y 3.7.0 es vulnerable a backtracking catastrófico en el método difflib.IS_LINE_JUNK. Un atacante podría utilizar este fallo para provocar una denegación de servicio (DoS).
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:python:python:*:*:*:*:*:*:*:* | 2.7.15 (excluyendo) | |
| cpe:2.3:a:python:python:*:*:*:*:*:*:*:* | 3.0 (incluyendo) | 3.4.9 (excluyendo) |
| cpe:2.3:a:python:python:*:*:*:*:*:*:*:* | 3.5.0 (incluyendo) | 3.5.5 (incluyendo) |
| cpe:2.3:a:python:python:*:*:*:*:*:*:*:* | 3.6 (incluyendo) | 3.6.4 (incluyendo) |
| cpe:2.3:a:python:python:3.7.0:alpha1:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.7.0:alpha2:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.7.0:alpha3:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.7.0:alpha4:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.7.0:beta1:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.7.0:beta2:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.7.0:beta3:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.7.0:beta4:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.7.0:beta5:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.7.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00040.html
- http://www.securitytracker.com/id/1042001
- https://access.redhat.com/errata/RHBA-2019:0327
- https://access.redhat.com/errata/RHSA-2018:3041
- https://access.redhat.com/errata/RHSA-2018:3505
- https://access.redhat.com/errata/RHSA-2019:1260
- https://access.redhat.com/errata/RHSA-2019:3725
- https://bugs.python.org/issue32981
- https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-1061
- https://docs.python.org/3.5/whatsnew/changelog.html#python-3-5-6-release-candidate-1
- https://docs.python.org/3.6/whatsnew/changelog.html#python-3-6-5-release-candidate-1
- https://lists.debian.org/debian-lts-announce/2018/09/msg00030.html
- https://lists.debian.org/debian-lts-announce/2018/09/msg00031.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/46PVWY5LFP4BRPG3BVQ5QEEFYBVEXHCK/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/AEZ5IQT7OF7Q2NCGIVABOWYGKO7YU3NJ/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/JSKPGPZQNTAULHW4UH63KGOOUIDE4RRB/
- https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbst03951en_us
- https://usn.ubuntu.com/3817-1/
- https://usn.ubuntu.com/3817-2/
- https://www.debian.org/security/2018/dsa-4306
- https://www.debian.org/security/2018/dsa-4307