• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Vulnerabilidad en la biblioteca ‘ipaddress’ de Python

Vulnerabilidad en la biblioteca ‘ipaddress’ de Python

6 mayo, 2021 Por Javier Aranda Dejar un comentario

Esta vulnerabilidad, presente en la biblioteca estándar de Python ‘ipaddress’, se basa en una mala validación de direcciones IP ambiguas.

Hace unos días se publicaron los detalles de una vulnerabilidad que afectaría a las versiones de Python entre la 3.8 y la 3.10. En el momento de redacción de este artículo está catalogada como CVE-2021-29921 y se encuentra a la espera de una puntuación CVSS.

Para dar algo de contexto, una dirección IPv4 se puede representar en varios formatos: decimal, entero, octal y hexadecimal. Por conveniencia se suelen expresar en formato decimal.

Direcciones IPv4 en distintos formatos. Fuente: BleepingComputer

La especificación del IETF declara que en el caso de las direcciones IP ambiguas, es decir, cuyos fragmentos se puedan interpretar con múltiples formatos; las secciones de una IPv4 precedidas de un «0» se deben analizar como octal. En el caso de ‘ipaddress’, los ceros a la izquierda simplemente se eliminan y se descartan. Los investigadores Victor Viale y sickcodes han publicado una prueba de concepto para ilustrar esta vulnerabilidad.

Prueba de concepto del análisis de ‘ipaddress’ en Python. Fuente: SickCodes

La validación inadecuada de la entrada de cadenas en formato octal en ipaddress permitiría a atacantes remotos no autentificados realizar ataques Server-Side Request Forgery (SSRF), Remote File Inclusion (RFI) y Local File Inclusion (LFI) en múltiples programas que dependen de la stdlib ipaddress de Python.

Aunque el módulo ‘ipaddress’ se introdujo en la versión 3.3 de Python, esta comprobación se eliminó a partir de la versión 3.8.0 hasta un reciente cambio en la 3.10, cuyo lanzamiento está previsto en octubre de 2021. Este problema recuerda al que hubo hace pocos meses en el paquete netmask de Node.js, descubierto por este mismo equipo de investigadores. Sin embargo; la diferencia es que este fallo pertenece a la biblioteca estándar, lo que requiere de una actualización completa del entorno de Python para mitigar el impacto.

Más información:
[security] CVE-2021-29921: ipaddress Should not reject IPv4 addresses with leading zeroes as ambiguously octal
Python also impacted by critical IP address validation vulnerability
CVE-2021-29921 – python stdlib “ipaddress” – Improper Input Validation of octal literals in python 3.8.0 thru v3.10 results in indeterminate SSRF & RFI vulnerabilities.

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Análisis Forense Digital

Bitcoin

Archivado en: General, Vulnerabilidades Etiquetado con: ip, ipaddress, ipv4, lfi, python, python 3.8.0, python3, rfi, ssrf, vulnerabilidad

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Se ha descubierto como ejecutar malware en iPhone incluso cuando esté apagado
  • Algunos de los 100.000 sitios web más populares recogen todo lo que escribes
  • Recomendaciones básicas para evitar ataques del Ransomware Conti
  • SonicWall corrige varias vulnerabilidades que afectan a los dispositivos SMA de la serie 1000
  • Empleados de empresas de fusiones y adquisiciones, nuevo "target" de los Ciberdelincuentes.

Entradas recientes

  • Se ha descubierto como ejecutar malware en iPhone incluso cuando esté apagado
  • SonicWall corrige varias vulnerabilidades que afectan a los dispositivos SMA de la serie 1000
  • Algunos de los 100.000 sitios web más populares recogen todo lo que escribes
  • Empleados de empresas de fusiones y adquisiciones, nuevo «target» de los Ciberdelincuentes.
  • Múltiples vulnerabilidades críticas en routers de InHand Networks
  • Recomendaciones básicas para evitar ataques del Ransomware Conti
  • El CERT ucraniano advierte a los ciudadanos sobre una nueva ola de ataques que distribuyen el malware «Jester»
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Se ha descubierto como ejecutar malware en iPhone incluso cuando esté apagado
  • SonicWall corrige varias vulnerabilidades que afectan a los dispositivos SMA de la serie 1000
  • Algunos de los 100.000 sitios web más populares recogen todo lo que escribes
  • Empleados de empresas de fusiones y adquisiciones, nuevo «target» de los Ciberdelincuentes.
  • Múltiples vulnerabilidades críticas en routers de InHand Networks

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...