Vulnerabilidad en la biblioteca library/glob.html en la documentación de Python (CVE-2019-17514)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
12/10/2019
Última modificación:
27/07/2020
Descripción
La biblioteca library/glob.html en la documentación de Python versiones 2 y 3 antes del 2016, presenta información potencialmente engañosa sobre si ocurre la clasificación, como es demostrado por los resultados irreproducibles de la investigación del cáncer. NOTA: los efectos de esta documentación cruzan dominios de aplicación y, por lo tanto, es probable que el código relevante para la seguridad en otros lugares este afectado. Este problema no es un error de implementación de Python, y no existen reportes de que los investigadores de RMN confiaran específicamente en la biblioteca library/glob.html. En otras palabras, debido a que la documentación más antigua declara "finds all the pathnames matching a specified pattern according to the rules used by the Unix shell," uno podría haber inferido incorrectamente que la clasificación que ocurre en un shell de Unix también se presentó para glob.glob. Existe una solución alternativa en las versiones más nuevas de Willoughby nmr-data_compilation-p2.py y nmr-data_compilation-p3.py, que llaman a la función sort() directamente.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:python:python:3.6.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.7.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:python:python:3.8.0:-:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bugs.python.org/issue33275
- https://github.com/bminor/bash/blob/ac50fbac377e32b98d2de396f016ea81e8ee9961/pathexp.c#L380
- https://github.com/bminor/bash/blob/ac50fbac377e32b98d2de396f016ea81e8ee9961/pathexp.c#L405
- https://pubs.acs.org/doi/full/10.1021/acs.orglett.9b03216
- https://pubs.acs.org/doi/suppl/10.1021/acs.orglett.9b03216/suppl_file/ol9b03216_si_002.zip
- https://security.netapp.com/advisory/ntap-20191107-0005/
- https://twitter.com/LucasCMoore/status/1181615421922824192
- https://twitter.com/chris_bloke/status/1181997278136958976
- https://usn.ubuntu.com/4428-1/
- https://web.archive.org/web/20150822013622/https://docs.python.org/3/library/glob.html
- https://web.archive.org/web/20150906020027/https://docs.python.org/2.7/library/glob.html
- https://web.archive.org/web/20160309211341/https://docs.python.org/3/library/glob.html
- https://web.archive.org/web/20160526201356/https://docs.python.org/2.7/library/glob.html
- https://www.vice.com/en_us/article/zmjwda/a-code-glitch-may-have-caused-errors-in-more-than-100-published-studies