numpy
Corrigé dans
1.13.3
La vulnérabilité CVE-2017-12852 affecte la bibliothèque NumPy, en particulier la fonction numpy.pad dans les versions inférieures ou égales à 1.9.3. Cette faille permet à un attaquant de provoquer un déni de service (DoS) en exploitant une absence de validation des entrées. L'absence de validation d'une liste ou d'un tableau NumPy vide peut entraîner une boucle infinie, immobilisant potentiellement le système. La correction est disponible dans la version 1.13.3.
L'impact principal de cette vulnérabilité est un déni de service. Un attaquant peut exploiter la fonction numpy.pad avec des entrées malformées (listes ou tableaux vides) pour déclencher une boucle infinie. Cette boucle consommera toutes les ressources du processeur, rendant le système inaccessible aux utilisateurs légitimes. Dans des environnements de production, cela peut entraîner une interruption de service significative et potentiellement affecter d'autres applications dépendantes de NumPy. Bien que l'exploitation ne permette pas l'exécution de code arbitraire, la perturbation du service peut avoir des conséquences importantes, notamment la perte de données ou des pertes financières.
Cette vulnérabilité a été rendue publique en août 2017. Il n'y a pas d'indication d'une exploitation active à grande échelle. Aucun exploit public n'a été largement diffusé, mais la simplicité de l'exploitation rend la vulnérabilité potentiellement dangereuse. Elle n'est pas répertoriée sur le KEV de CISA au moment de la rédaction. La publication initiale a été faite le 2017-08-15.
Statut de l'Exploit
EPSS
0.81% (percentile 74%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour NumPy vers la version 1.13.3 ou ultérieure, où la vulnérabilité a été corrigée. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à valider les entrées de la fonction numpy.pad avant de les utiliser. Cela peut être fait en vérifiant que les listes ou tableaux passés à la fonction ne sont pas vides. Il est également recommandé de surveiller l'utilisation du processeur et de mettre en place des mécanismes de limitation de débit pour atténuer l'impact d'une éventuelle attaque DoS. Après la mise à jour, vérifiez que la fonction numpy.pad se comporte comme prévu avec des entrées valides.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2017-12852 is a Denial of Service vulnerability in NumPy versions 1.9.3 and earlier. An attacker can trigger an infinite loop in the numpy.pad function, causing a DoS.
If you are using NumPy version 1.9.3 or earlier, you are potentially affected. Check your NumPy version using pip show numpy or python -c "import numpy; print(numpy.version)".
Upgrade to NumPy version 1.13.3 or later. This version includes a fix for the input validation issue that causes the DoS vulnerability.
There is no current evidence of CVE-2017-12852 being actively exploited in the wild, but public POC code exists.
Refer to the NumPy security advisories and the related discussion on the NumPy mailing list for details: https://github.com/numpy/numpy/issues/9384
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.