PT-2024-3833 · Pypi+10 · Python-Idna+10
Guido Vranken
·
Publicado
2024-04-10
·
Atualizado
2026-06-05
·
CVE-2024-3651
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
python-idna versão 3.6
Descrição
O problema decorre do tratamento de strings de entrada manipuladas pela função
idna.encode(), o que pode levar a uma complexidade quadrática e, consequentemente, a uma condição de negação de serviço. Isso é desencadeado por uma entrada manipulada que faz com que a função idna.encode() processe a entrada com uma carga computacional considerável, aumentando significativamente o tempo de processamento de forma quadrática em relação ao tamanho da entrada. A vulnerabilidade pode permitir que um invasor remoto cause uma negação de serviço.Recomendações
Para a versão 3.6, considere atualizar para a versão 3.7, na qual a função foi aprimorada para rejeitar tais strings sem o consumo de recursos associado.
Como solução alternativa temporária, imponha um limite de comprimento de 253 caracteres aos nomes de domínio antes de passá-los para a função
idna.encode() para evitar um consumo significativo de recursos.Exploit
Correção
DoS
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Python-Idna