edición general
9 meneos
412 clics

Miles de programas en peligro por un fallo crítico en Python

Miles de programas están en peligro debido a una vulnerabilidad crítica en la validación de direcciones IP de Python

| etiquetas: python , ip , validación , vulnerabilidad
Por lo que entiendo solo afecta si tienes un programa python directamente expuesto en Internet. Si está detrás de un proxy tipo nginx, haproxy o similares estarías a salvo, ya que hacen de intermediarios con tu servicio.
Aquí llega el problema con los ceros a la izquierda. Es lo mismo que ocurría con la biblioteca netmask. La manera en la que gestiona esa IP cambia al agregar un valor cero antes de la IP en formato decimal. Lo que ocurre con la vulnerabilidad de Python es que los ceros a la izquierda los descartaría.

Siento decir que no entiendo la vulnerabilidad... ¿si le enchufas un 0 delante lo descarta? o descarta las ips que empiezan por 0. ... ? o ...
#2 si le metes una ip en octal que empieza por cero, lo descarta y la lee como decimal.
comentarios cerrados

menéame