Уязвимост в Python при обработка на непроверени дробни числа в ctypes

Налични са коригиращи версии на езика за програмиране Python 3.7.10 и 3.6.13, които коригират уязвимост (CVE-2021-3177), която може да доведе до изпълнение на код при обработка на невалидирани числа с плаваща запетая в манипулатори, които извикват C функции, използвайки механизма ctypes . Проблемът засяга и клоновете на Python 3.8 и 3.9, но актуализациите за тях все още са в състояние на кандидат за издание (пускане е планирано за 1 март).

Проблемът е причинен от препълване на буфера в ctypes функцията PyCArg_repr(), което възниква поради небезопасно използване на sprintf. По-специално, за да обработите резултата от трансформацията 'sprintf(buffer, " ", self->tag, self->value.b)" разпредели статичен буфер от 256 байта ("char buffer[256]"), докато резултатът може да надхвърли тази стойност. За да проверите уязвимостта на приложенията към уязвимостта, можете да опитате да предадете стойността „1e300“, която, когато се обработва от метода c_double.from_param, ще доведе до срив, тъй като полученото число съдържа 308 знака и не се вписва в 256-байтов буфер. Пример за проблемен код: import ctypes; x = ctypes.c_double.from_param(1e300); repr(x)

Проблемът остава нерешен в Debian, Ubuntu и FreeBSD, но вече е коригиран в Arch Linux, Fedora, SUSE. В RHEL уязвимостта не се появява поради сглобяване на пакет в режим FORTIFY_SOURCE, който блокира такива препълвания на буфера в низови функции.

Източник: opennet.ru