Vulnérabilité dans Python

Date de publication : 29/09/2022

CVE-2021-3177[Score CVSS v3 : 9.8] : Une vulnérabilité au sein du programme PyCArg_repr dans _ctypes/callproc.c dans Python a été corrigée. Cette vulnérabilité est due à un dépassement de tampon. Un attaquant distant et non-authentifié peut potentiellement injecter du code arbitraire. Les applications Python impactées acceptent les nombres à virgule flottante (float) venant de sources non fiables, par exemple lorsque la fonction sprintf est utilisée de manière non sécurisée.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Injection de code arbitraire

Criticité

Score CVSS v3 : 9.8

Existence d’un code d’exploitation

Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.

Néanmoins, des éléments techniques liés à l’exploitation de cette vulnérabilité sont disponible ici : https://bugs.python.org/issue42938

Composants vulnérables

Les versions de Python suivantes sont impactées par cette vulnérabilité :

v3.6.0 à v3.6.12

v3.7.0 à 3.7.9

v3.8.0 à 3.8.7

v3.9.0 à v3.9.1

CVE

CVE-2021-3177

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour Python vers une des versions suivantes :

v3.6.13
v3.7.10
v3.8.8
v3.9.2

Solution de contournement

Aucune solution de contournement n’est proposée publiquement à l’heure actuelle.

Liens

Issue 42938: [security][CVE-2021-3177] ctypes double representation BoF