PT-2021-7287 · Pypi+8 · Cryptography+8
Publicado
2020-12-09
·
Atualizado
2025-10-05
·
CVE-2020-36242
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do pacote cryptography anteriores à 3.3.2
Descrição
O problema está relacionado a um estouro de inteiro no pacote de criptografia para Python. Esse estouro pode ocorrer quando determinadas sequências de chamadas de atualização são feitas para criptografar simetricamente valores de vários GB, podendo levar a um estouro de buffer. Um invasor poderia explorar essa vulnerabilidade enviando dados especialmente criados, o que lhe permitiria executar código arbitrário no sistema alvo. A classe Fernet é especificamente mencionada como exemplo dessa vulnerabilidade.
Recomendações
Para versões anteriores à 3.3.2, atualize para a versão 3.3.2 ou mais recente para resolver o problema. Como solução temporária, considere restringir o uso de valores grandes na criptografia ou descriptografia simétrica para minimizar o risco de exploração. Evite usar a função
update() com valores de vários GB até que o problema seja resolvido.Exploit
Correção
DoS
Memory Corruption
Integer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Centos
Red Hat
Red Os
Rocky Linux
Suse
Zvirt Node
Cryptography