Nivel de peligrosidad: ALTO
CVE-2020-14422: Se ha publicado una vulnerabilidad en el conocido lenguaje de programación Python. Concretamente la vulnerabilidad afecta a Python 3 y está ubicada en la librería ipaddress.py cuando calcula de forma incorrecta los valores hash en las clases IPv4Interface e IPv6Interface.
Las funciones hash de estas clases siempre devuelven cadenas de 32 y 64 caracteres respectivamente. Si IPv4Interface o IPv6Interface se colocan en un diccionario, por ejemplo en un servidor que almacena direcciones IP, esto provocará colisiones hash, lo que a su vez puede conducir a situaciones de denegación de servicio (DoS).
La base de datos del NIST ha asignado al CVE-2020-14422 una criticidad de 7.5 (CVSSv3) y hasta la fecha no se conoce actividad dañina en la red, ni la disponibilidad de exploits que aprovechen esta vulnerabilidad.
Recursos afectados:
- Python en sus versiones 3.10, 3.9, 3.8, 3.7, 3.6 y 3.5.
Solución a la vulnerabilidad:
Según los investigadores que han reportado el fallo, la solución es simple y pasa por modificar ciertos valores en la librería ipaddress.py. Para ello, han publicado un parche que soluciona el problema, disponible desde el siguiente enlace:
Recomendaciones:
El CERT de Entelgy Innotec Security, recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad o actualizaciones en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento no se conocen medidas de mitigación alternativas a esta vulnerabilidad en caso de no ser posible aplicar el parche descrito.