Aplicaciones y proyectos Python podrían tener una vulnerabilidad que permite ataques DoS.

Los miembros de un curso de hacking descubrieron que Urllib3, un popular cliente HTTP de Python, podría estar expuesto a la explotación de una vulnerabilidad de denegación de servicio (DoS) descubierta recientemente.

Ésta biblioteca es empleada en todo el ecosistema de Python, con más de mil 200 paquetes, incluyendo los más populares como requests, selenium, kubernetes, entre otros. Dadas sus amplias capacidades, lo más probable es que la mayoría de los usuarios de alguno de los proyectos de Python estén empleando Urllib3.

La versión vulnerable (1.25.2), se agregó logic a util/url.py para codificar por ciento los caracteres no válidos en el destino de la solicitud. El método _encode_invalid_chars, tal cual está escrito, contiene todas las coincidencias de codificaciones porcentuales, mencionan los participantes del curso de hacking.

Para una URL de determinada longitud, el tamaño valor de percent_encoding corresponde a un tiempo de ejecución lineal. El siguiente paso (normalizar los bytes codificados porcentuales existentes) también requiere un tiempo de ejecución lineal para cada codificación de porcentaje. Un actor de amenazas podría abusar de esta ineficiencia para consumir los recursos de procesamiento de un sistema objetivo, lo que conduciría a la condición DoS, que podría extenderse a periodos indeterminados.

El reporte fue presentado a los desarrolladores de la biblioteca expuesta, quienes a su vez reconocieron la presencia de la falla y se apresuraron a lanzar la versión 1.25.8, en la que la vulnerabilidad DoS ha sido mitigada.

Ésta es una biblioteca ampliamente utilizada en los proyectos de Python, por lo que los miembros del curso de hacking recomiendan a los desarrolladores verificar si sus proyectos emplean la versión vulnerable de Urllib3. Muchos paquetes de Python dependen de urllib3, por lo que es probable que la vulnerabilidad esté presente en los proyectos como una dependencia indirecta, por lo que no será posible para los desarrolladores instalar las actualizaciones, dependiendo de la dependencia de nivel superior.


¿Quieres aprender a programar de manera profesional?

 

Te invitamos a formar parte de Azul School donde vas a tener acceso a cursos profesionales con certificado. Además tienes acceso a una red social de programadores donde puedes conocer gente de tu ciudad o país.

 

Si quieres acceder a todas las funciones te regalamos un descuento del 75% usando este cupón (no vas a encontrar este descuento en ningún otro lugar) Cupón: azulweb y lo puedes cambiar aquí: Haz clic aquí para cambiar el cupón del 75%.

 

También puedes probar la plataforma de forma gratuita y obtener un curso gratuito aquí: Haz clic aquí para probar la plataforma de forma gratuita.


Marlene Rojas

Marlene Rojas

Ing. en Sistemas Computacionales. Me gusta estar informada de todo lo que tenga que ver con ciencia y tecnología y me interesa todo aquello que involucre un nuevo aprendizaje.

También te podría gustar...