Nivel de peligrosidad: CRÍTICA.
Se ha publicado una vulnerabilidad en Python, lenguaje de programación disponible para múltiples plataformas. A continuación, se exponen los detalles técnicos de la vulnerabilidad.
CVE-2021-3177: Python es propenso a una vulnerabilidad de desbordamiento de búfer al no comprobar adecuadamente los límites de los datos suministrados por el usuario antes de copiarlos en un búfer de tamaño insuficiente. En concreto, esta vulnerabilidad afecta a la función 'PyCArg_repr()' del archivo fuente _ctypes/callproc.c. Un atacante remoto puede aprovechar este fallo para ejecutar código arbitrario o causar una denegación de servicio.
La base de datos del NIST ha asignado al CVE-2021-3177 una criticidad de 9.8 (CVSSv3) y hasta la fecha no se conoce actividad dañina en la red, ni la disponibilidad de exploits que aprovechen esta vulnerabilidad.
Recursos afectados:
- Python 3.6
- Python 3.7
- Python 3.8
- Python 3.9
Solución a las vulnerabilidades:
Según los investigadores que han reportado el fallo, la solución es simple y pasa por modificar ciertos valores en el archivo _ctypes/callproc.c. Para ello, han publicado un parche que soluciona el problema, disponible desde los siguientes enlaces:
Recomendaciones:
El CSIRT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento no se conocen medidas de mitigación alternativas a esta vulnerabilidad en caso de no ser posible aplicar el parche descrito.
Referencias:
