Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

10/07/2020

Zero-day en Python

La vulnerabilitat provoca col·lisió de hash en IPv4 i IPv6 i pot convertir-se en un atac DOS

La fallada es deu a com interactuen IPv4Interface i IPv6Interface. Les seues funcions hash tornen 32 i 64 respectivament, però Lib/ipaddress.py per a aquestes versions de Python, calcula incorrectament el valor del hash.

L'error es troba en les línies 1421 i 2095.

Més informació.

Sistemes Afectats:

Versions 3.8.0, 3.8.1, 3.8.2 i 3.8.3

Referències:

CVE.2020-14422

Solució:

Sembla que la manera de corregir aquesta fallada és canviar la línia 1421 per:
return hash((self._ip, self._prefixlen, int(self.network.network_address)))

i la línia 2095 canviar-la per:
return hash((self._ip, self._prefixlen, int(self.network.network_address)))

OpenSuse ha publicat com arreglar-ho en aquesta pàgina.

Notes:

https://bugs.python.org/issue41004
https://www.suse.com/security/cve/CVE-2020-14422/

CSIRT-CV