PT-2021-6101 · Pypi+4 · Httplib2+4

Ben Caller

·

Publicado

2021-02-08

·

Atualizado

2026-03-21

·

CVE-2021-21240

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do httplib2 anteriores à 0.19.0
Descrição
Um servidor malicioso que responda com uma longa sequência de caracteres xa0 no cabeçalho www-authenticate pode causar uma negação de serviço (sobrecarga da CPU durante a análise do cabeçalho) no cliente httplib2 que acessa o referido servidor. O problema surge devido a um backtracking catastrófico na expressão regular vulnerável, levando a uma complexidade cúbica e a atrasos significativos no processamento.
Recomendações
Para versões anteriores à 0.19.0, atualize para a versão 0.19.0, que contém uma nova implementação de análise de cabeçalhos de autenticação usando a biblioteca pyparsing.
Como solução temporária, considere definir httplib2.USE WWW AUTH STRICT PARSING como True para mitigar o problema.

Exploit

Correção

DoS

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400

Identificadores relacionados

BDU:2022-00801
CVE-2021-21240
GHSA-93XJ-8MRV-444M
MGASA-2021-0122
OESA-2021-1126
OPENSUSE-SU-2021:0772-1
OPENSUSE-SU-2021:0796-1
OPENSUSE-SU-2021:1806-1
OPENSUSE-SU-2021_0772-1
OPENSUSE-SU-2021_1806-1
OPENSUSE-SU-2024:11231-1
OPENSUSE-SU-2024:14141-1
PYSEC-2021-16
RHSA-2021:2116
SUSE-SU-2021:1637-1
SUSE-SU-2021:1779-1
SUSE-SU-2021:1806-1
SUSE-SU-2021:1807-1
SUSE-SU-2021:1808-1

Produtos afetados

Astra Linux
Debian
Red Os
Suse
Httplib2