「Python」のURL解析に脆弱性 - ブロックリスト回避のおそれ
「Python」においてURLの解析に広く利用される標準ライブラリ「urllib.parse」の既知の脆弱性について注意が呼びかけられている。
空白文字で始まるURLにおいてブロックリストメソッドを回避できる脆弱性「CVE-2023-24329」について、CERT/CCが注意を呼びかけたもの。ホスト名、スキームの双方において影響を受ける。
ブラックリストにあるドメインやプロトコルのフィルタリングをバイパスし、本来アクセスが制限されるべきサイトへのアクセスやプロトコルを指定した制限などを回避することが可能。任意のファイルの読み取り、任意のコマンドの実行、サーバサイドリクエストフォージェリ(SSRF)などにつながるおそれもある。
米国立標準技術研究所(NIST)の脆弱性データベース「NVD」において、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」、重要度は4段階中2番目にあたる「高(High)」とレーティングされている。
同脆弱性は、6月にリリースされた「Python 3.11.4」「同3.10.12」「同3.9.17」「同3.8.17」「同3.7.17」にて修正された。また10月に正式版の公開が予定されている「同3.12」においても修正が反映される予定。
(Security NEXT - 2023/08/17 )
ツイート
PR
関連記事
県立高校でメール誤送信、高校生活入門講座参加者のメアド流出 - 三重県
メタバース内に「警視庁サイバーセキュリティセンター」を開設
JPAAWGのカンファレンスイベント、11月に開催 - 申込受付を開始
「CODE BLUE 2023」のタイムテーブル - 脆弱性関連の講演充実
トレンドのモバイル管理製品に複数の脆弱性
米政府、Appleやトレンドの脆弱性について注意喚起
患者情報含む書類が所在不明 - 昭和大病院
プレミアム付き商品券の発行事業でメール誤送信 - 唐津市
県立高校生徒会室で生徒情報含むUSBメモリを紛失 - 埼玉県
上半期の不正アクセスによる検挙は188件 - 前年同期比19.3%減