SK-CERT Bezpečnostné varovanie V20190315-03

Dôležitosť Kritická
Klasifikácia Neutajované/TLP WHITE
CVSS Skóre
9.8
Identifikátor
Python zraniteľnosť
Popis
Vývojári jazyka Python vydali aktualizáciu svojho produktu, ktorá rieši kritickú bezpečnostnú zraniteľnosť.
Bezpečnostná zraniteľnosť v komponentoch urllib.parse.urlsplit a urllib.parse.urlparse spočíva v nesprávnom spracovaní unicode kódovania a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zasielania špeciálne upravených URL adries získať neoprávnený prístup k autentifikačným údajom.
Dátum prvého zverejnenia varovania
06.03.2019
CVE
CVE-2019-9636, CVE-2019-9740
Zasiahnuté systémy
Python
Následky
Neoprávnený prístup k citlivým údajom
Neoprávnený prístup do systému
Odporúčania
Administrátorom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Po odstránení zraniteľností, ktoré môžu spôsobiť únik informácií, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Zdroje
https://bugs.python.org/issue36216
https://tools.cisco.com/security/center/viewAlert.x?alertId=59751
https://tools.cisco.com/security/center/viewAlert.x?alertId=59782

« Späť na zoznam