INFSA-2024:6961: Устранение уязвимостей python3.12

Информация о бюллетене

Идентификатор: INFSA-2024:6961

Тип: устранение уязвимостей

Дата публикации: 2024-10-10 10:43:07 UTC

Информация о пакете

Python 3.12 — это доступный, высокоуровневый, динамически типизированный, интерпретируемый язык программирования, разработанный с упором на читаемость кода. Он включает в себя обширную стандартную библиотеку и имеет большую экосистему сторонних библиотек. Пакет python3.12 предоставляет исполняемый файл "python3.12": эталонный интерпретатор для языка Python версии 3. Большая часть его стандартной библиотеки поставляется в пакете python3.12-libs, который устанавливается автоматически вместе с python3.12. Остальные части стандартной библиотеки Python разбиты на пакеты python3.12-tkinter и python3.12-test, которые, возможно, потребуется установить отдельно. Документация по Python предоставляется в пакете python3.12-docs. Пакеты, содержащие дополнительные библиотеки для Python, обычно называются с префиксом "python3.12-". Информацию о неверсионированном исполняемом файле "python" можно найти в руководстве "unversioned-python".

Описание уязвимостей

  • CVE-2024-4032

    Уязвимость классов ipaddress.IPv4Address, ipaddress.IPv4Network, ipaddress.IPv6Address и ipaddress.IPv6Network модуля ipaddress интерпретатора языка программирования Python (CPython) связана с некорректной проверкой диапазона IP-адресов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации.

  • CVE-2024-6923

    Уязвимость Python CPython связана с отсутствием надлежащих кавычек в заголовках электронной почты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, подделать личность отправителя и действовать от его лица по электронной почте, убедив жертву открыть специально созданное сообщение электронной почты.

  • CVE-2024-8088

    Уязвимость Python CPython вызвана ошибкой бесконечного цикла при переборе имен записей в zip-архиве. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании, используя специально созданный zip-архив.

Уровень опасности

CVE Оценка CVSS 2.0 Оценка CVSS 3.x Оценка CVSS 4.0
NIST — CVE-2024-4032
 нет информации 3.7 нет информации
NIST — CVE-2024-6923
 нет информации 6.8 нет информации
NIST — CVE-2024-8088
 нет информации 5.3 нет информации
Критичный, высокий, средний, низкий

Обновлённые пакеты