PyXDG是一个访问freedesktop.org标准的python库。
PyXDG 0.26之前版本中存在代码注入漏洞。该漏洞源于外部输入数据构造代码段的过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞生成非法的代码段,修改网络系统或组件的预期的执行控制流。
** DISPUTED ** NumPy < 1.19 中 fortranobject.c 的 array_from_pyobj 函数中的缓冲区溢出,这使得攻击者可以通过小心地构造具有负值的数组来进行拒绝服务攻击。注意:供应商不同意这是一个漏洞;负维度只能由已经拥有特权的用户(或内部)创建。
Nltk是一个自然语言工具包。用于支持自然语言处理的研究和开发。
nltk 中存在代码问题漏洞,该漏洞源于产品中的某些正则表达式存在错误。攻击者可通过该漏洞导致拒绝服务。
Nltk是一个自然语言工具包。用于支持自然语言处理的研究和开发。
nltk存在安全漏洞,该漏洞源于在处理正则表达式的过程中触发异常。
Natural Language Toolkit资源管理错误漏洞
拒绝服务
Natural Language Toolkit(NLTK)是一款使用Python语言编写的自然语言处理工具包。Natural Language Toolkit(NLTK) 3.6.5之前版本存在资源管理错误漏洞,攻击者可利用该漏洞进行拒绝服务攻击。
urllib3是一款Python HTTP库。该产品具有线程安全连接池、文件发布支持等。
Urllib3 存在资源管理错误漏洞,该漏洞源于在鉴权模块的URL中添加@参数导致,攻击者可利用该漏洞引起资源冲突导致拒绝服务。以下产品及型号会受到影响:Urllib3 0.3, 0.3.1, 0.4, 0.4.1, 1.0, 1.0.1, 1.0.2, 1.1, 1.2, 1.2.1, 1.3, 1.4, 1.5, 1.6, 1.7, 1.7.1, 1.8, 1.8.1, 1.8.2, 1.8.3, 1.9, 1.9.1, 1.10, 1.10.1, 1.10.2, 1.10.3, 1.10.4, 1.11, 1.12, 1.13, 1.13.1, 1.14, 1.15, 1.15.1, 1.16, 1.17, 1.18, 1.18.1, 1.19, 1.19.1, 1.20, 1.21, 1.21.1, 1.22, 1.23, 1.24, 1.24.1, 1.24.2, 1.24.3, 1.25, 1.25.1, 1.25.2, 1.25.3, 1.25.4, 1.25.5, 1.25.6, 1.25.7, 1.25.8, 1.25.9, 1.25.10, 1.25.11, 1.26.0, 1.26.1, 1.26.2, 1.26.3, 1.26.4。
python-cryptography 安全漏洞
输入验证不恰当
python-cryptography是一个基于Python语言的加密标准库。
python-cryptography 1.9.0版本至2.3版本(不包括2.3版本)存在安全漏洞,该漏洞源于finalize_with_tag API没有遵守标签的最小长度值的设置。攻击者可通过构造带有较小标签的无效载荷利用该漏洞绕过MAC,泄露密钥。
** 有争议 ** NumPy 1.9.x 中 ctors.c 的 PyArray_NewFromDescr_int 函数中存在缓冲区溢出漏洞,当从 Python 代码中指定大维度(超过 32 个)数组时,这可能会让恶意用户导致拒绝服务。注意:供应商不同意这是一个漏洞;在(非常有限的)情况下,用户可能会引发缓冲区溢出,用户很可能已经拥有至少通过耗尽内存来引发拒绝服务的特权。进一步触发此操作需要使用不常见的 API(复杂的结构化数据类型),非特权用户不太可能使用该 API。
NumPy 1.22.0 之前的 numpy.core 组件中的不完整字符串比较允许攻击者通过构造特定字符串对象来触发稍微不正确的复制。注意:供应商声明此报告的代码行为是“完全无害的”。
** 有争议 ** 由于缺少返回值验证,NumPy < 中的 numpy.sort 和 PyArray_DescrNew 函数中的 1.19 中存在空指针取消引用漏洞,这使得攻击者可以通过重复创建排序数组来进行 DoS 攻击。注意:虽然正确的是缺少验证,但只有内存耗尽才会发生错误。如果用户可以耗尽内存,则他们已经拥有特权。此外,实际上不可能构建一个可以针对恰好在此位置发生的内存耗尽的攻击。
评论