PT-2020-6268 · Python+9 · Python+9

Ben Caller

Publicado

2020-01-30

Atualizado

2026-05-18

CVE-2020-8492

CVSS v2.0

7.1

Alta

Vetor

AV:N/AC:M/Au:N/C:N/I:N/A:C

Nome do software vulnerável e versões afetadas

Versões do Python 2.7 a 2.7.17

Versões do Python 3.5 a 3.5.9

Versões do Python 3.6 a 3.6.10

Versões do Python 3.7 a 3.7.6

Versões do Python 3.8 a 3.8.1

Descrição

O problema está relacionado a um consumo descontrolado de recursos no interpretador Python. Ele permite que um servidor HTTP realize ataques de Negação de Serviço por Expressão Regular (ReDoS) contra um cliente devido a um backtracking catastrófico do urllib.request.AbstractBasicAuthHandler. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço.

Recomendações

Para as versões do Python 2.7 a 2.7.17, considere desativar o urllib.request.AbstractBasicAuthHandler para minimizar o risco de exploração até que um patch esteja disponível.

Para as versões 3.5 a 3.5.9 do Python, considere desativar o urllib.request.AbstractBasicAuthHandler para minimizar o risco de exploração até que um patch esteja disponível.

Para as versões 3.6 a 3.6.10 do Python, considere desativar o urllib.request.AbstractBasicAuthHandler para minimizar o risco de exploração até que um patch esteja disponível.

Para as versões 3.7 a 3.7.6 do Python, considere desativar o urllib.request.AbstractBasicAuthHandler para minimizar o risco de exploração até que uma correção esteja disponível.

Para as versões 3.8 a 3.8.1 do Python, considere desativar o urllib.request.AbstractBasicAuthHandler para minimizar o risco de exploração até que uma correção esteja disponível.

Como solução alternativa temporária, considere

Exploit

Correção

DoS

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400

Identificadores relacionados

ALSA-2020:4641

ALT-PU-2020-1597

ALT-PU-2020-1914

ALT-PU-2020-3318

ALT-PU-2020-3323

ALT-PU-2021-2653

ALT-PU-2024-3474

BDU:2021-03740

BIT-LIBPYTHON-2020-8492

BIT-PYTHON-2020-8492

BIT-PYTHON-MIN-2020-8492

CESA-2020_3888

CESA-2020_4433

CESA-2020_4641

CLEANSTART-2026-BM51903

CLEANSTART-2026-SY44974

CVE-2020-8492

DLA-2280-1

DLA-3432-1

MGASA-2020-0451

OPENSUSE-SU-2020:0274-1

OPENSUSE-SU-2020:2332-1

OPENSUSE-SU-2020:2333-1

OPENSUSE-SU-2020_0274-1

OPENSUSE-SU-2020_2332-1

OPENSUSE-SU-2020_2333-1

OPENSUSE-SU-2022_4281-1

OPENSUSE-SU-2024:11202-1

OPENSUSE-SU-2024:11283-1

OPENSUSE-SU-2024:11284-1

OPENSUSE-SU-2024:11285-1

OPENSUSE-SU-2024:11286-1

OPENSUSE-SU-2024:12089-1

OPENSUSE-SU-2024:12910-1

OPENSUSE-SU-2024:14109-1

OPENSUSE-SU-2024:14434-1

OPENSUSE-SU-2025:15713-1

PSF-2020-8

RHSA-2020:3888

RHSA-2020:4285

RHSA-2020:4433

RHSA-2020:4641

RHSA-2020_3888

RHSA-2020_4433

RHSA-2020_4641

RLSA-2020:4641

ROSA-SA-2025-2646

SUSE-FU-2022:0444-1

SUSE-FU-2022:0445-1

SUSE-SU-2020:0467-1

SUSE-SU-2020:0510-1

SUSE-SU-2020:0557-1

SUSE-SU-2020:0854-1

SUSE-SU-2020:14306-1

SUSE-SU-2020:1524-1

SUSE-SU-2020:3563-1

SUSE-SU-2020:3865-1

SUSE-SU-2020:3930-1

SUSE-SU-2020_14306-1

SUSE-SU-2020_1524-1

SUSE-SU-2022:4281-1

USN-4333-1

USN-4333-2

USN-4754-3

USN-5200-1

USN-6891-1

Produtos afetados

Alt Linux

Almalinux

Astra Linux

Centos

Linuxmint

Python

Red Hat

Rocky Linux

Suse

Ubuntu

PT-2020-6268 · Python+9 · Python+9

CVE-2020-8492

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 319