Python Update Patch แก้ไขช่องโหว่ Remote Code Execution !!!

Python Software Foundation (PSF) ได้ออก Python 3.9.2 และ 3.8.8 เพื่อแก้ไขช่องโหว่ Buffer Overflow ซึ่งอาจเป็นช่องทางให้ Hacker ใช้ทำการโจมตี Remote Code Execution รหัส CVE-2021-3177

          Python 3.x ถึง 3.9.1 มี Buffer Overflow ใน PyCArg_repr ใน ctypes / callproc.c ซึ่งอาจนำไปการโจมตี Remote Code Execution ซึ่งช่องโหว่นี้เกิดจากการใช้ sprintf” อย่างไม่ปลอดภัย

          ช่องโหว่ดังกล่าวเป็น Bug ของหน่วยความจำทั่วไปกับ RedHat Stack-based Buffer Overflow ทำให้โมดูล ctypes ของ Python ตรวจสอบอินพุตที่ส่งผ่านไปไม่ถูกต้อง อาจทำให้ Hacker โจมตี Buffer Overflow บน Stack และทำให้ Application ใช้งานไม่ได้

          และยังมีช่องโหว่ Web Cache Poisoning (CVE-2021-23336) ผ่าน urllib .parse.parse_qsl และ urllib.parse.parse_qs โดยใช้เวกเตอร์ Called parameter cloaking

          คำแนะนำ

          Update Python ให้เป็น Version ปัจจุบัน

ที่มา: https://access.redhat.com/security/cve/cve-2021-3177

Share

Add Your Comments

Your email address will not be published. Required fields are marked *