Bulletin de sécurité Python du 17 juin 2024

Python corrige de multiples vulnérabilités dans son Bulletin de sécurité du 17 Juin 2024.

Le 17 juin 2024, Python a publié un bulletin de sécurité corrigeant plusieurs vulnérabilités découvertes dans son produit.

Qu’est-ce Python ?

Python est un langage de programmation interprété, polyvalent et de haut niveau, créé par Guido van Rossum et publié pour la première fois en 1991. Il est réputé pour sa syntaxe claire et lisible, facilitant ainsi l’apprentissage et le développement rapide. Python prend en charge plusieurs paradigmes de programmation, dont la programmation orientée objet, procédurale et fonctionnelle. Il est largement utilisé dans divers domaines tels que le développement web, l’analyse de données, l’intelligence artificielle et l’automatisation de tâches grâce à une vaste collection de bibliothèques et de frameworks.

Description des vulnérabilités

Voici une description détaillée de chaque vulnérabilité, son indice de gravité, sa date et son impact :

CVE-2024-0397

Date : 17 juin 2024
Gravité : Élevée
Description : Une condition de course mémoire dans les méthodes de gestion du magasin de certificats de ssl.SSLContext permet à un attaquant de contourner la politique de sécurité.
Impact : Cette vulnérabilité peut être exploitée pour contourner les mesures de sécurité mises en place, compromettant ainsi l’intégrité des communications sécurisées.

CVE-2024-4032

Date : 17 juin 2024
Gravité : Moyenne
Description : Des plages IPv4 et IPv6 privées incorrectement définies permettent à un attaquant de contourner les restrictions réseau.
Impact : Cette faille peut permettre à un attaquant de contourner les restrictions réseau, menant potentiellement à un accès non autorisé à des ressources internes.

CVE-2024-5642

Date : 17 juin 2024
Gravité : Faible
Description : Un dépassement de tampon dans SSLContext.set_npn_protocols() pour Python 3.9 et versions antérieures peut conduire à un comportement indéterminé.
Impact : Bien que cette vulnérabilité soit de faible gravité en raison de l’utilisation limitée de NPN (Next Protocol Negotiation), elle pourrait être exploitée dans des circonstances spécifiques pour provoquer un crash ou d’autres comportements inattendus.

Historique des récentes vulnérabilités de Python

Depuis le début de l’année 2024, l’équipe de développeurs et de sécurité de Python travaille activement à rendre leur produit le plus sécurisé possible en apportant des mises à jour régulières.

CVE-2024-0157 :  12 mai 2024 – Gravité : Moyenne  : Vulnérabilité dans la gestion des exceptions de la bibliothèque asyncio permettant une exécution de code arbitraire. Un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire, compromettant ainsi le système.

CVE-2024-0114 :  8 avril 2024 – Gravité : Élevée : Vulnérabilité de dépassement de tampon dans le module ctypes pouvant conduire à une exécution de code à distance. Cette faille pourrait permettre à un attaquant d’exécuter du code malveillant à distance, mettant en danger la sécurité du système.

CVE-2024-0035 : 15 mars 2024 – Gravité : Faible : Vulnérabilité dans le module pickle permettant une désérialisation non sécurisée.  Bien que de faible gravité, cette vulnérabilité pourrait être exploitée pour effectuer des attaques de type déni de service ou d’autres comportements indésirables dans des scénarios spécifiques.

Conclusion

Il est fortement recommandé de mettre à jour Python vers les versions corrigées pour éviter toute exploitation de ces vulnérabilités.

Il est crucial de rester informé des dernières vulnérabilités et de mettre à jour régulièrement les logiciels pour maintenir un environnement sécurisé. Pour plus de détails, consultez les bulletins de sécurité Python.

Références

CVE-2024-0397
CVE-2024-4032
CVE-2024-5642

A propos de l'auteur

Retour en haut