प्लेटफ़ॉर्म
python
घटक
priority
में ठीक किया गया
1.2.0
CVE-2016-6580 Python priority लाइब्रेरी में एक मेमोरी एग्जॉशन भेद्यता है। यह भेद्यता तब उत्पन्न होती है जब एक दुर्भावनापूर्ण पीयर HTTP/2 कार्यान्वयन को सभी संभावित स्ट्रीम आईडी के लिए प्राथमिकता जानकारी असाइन करता है, जिससे लाइब्रेरी अत्यधिक मात्रा में मेमोरी आवंटित करती है। यह भेद्यता Python priority लाइब्रेरी के संस्करण 1.1.1 से कम या बराबर को प्रभावित करती है और इसे संस्करण 1.2.0 में ठीक कर दिया गया है।
यह भेद्यता हमलावर को लक्षित सिस्टम पर एक सेवा से वंचित करने (DoS) की अनुमति दे सकती है। दुर्भावनापूर्ण पीयर द्वारा लगातार प्राथमिकता जानकारी असाइन करने से, लाइब्रेरी अत्यधिक मात्रा में मेमोरी आवंटित कर सकती है, जिससे सिस्टम अस्थिर हो सकता है या क्रैश हो सकता है। इसके अतिरिक्त, प्राथमिकता ट्री को बनाए रखने के लिए उच्च CPU उपयोग की आवश्यकता हो सकती है, जिससे सिस्टम प्रदर्शन प्रभावित हो सकता है। इस भेद्यता का शोषण करने के लिए हमलावर को HTTP/2 प्रोटोकॉल को नियंत्रित करने में सक्षम होना चाहिए, जो आमतौर पर वेब सर्वर या क्लाइंट के माध्यम से किया जा सकता है।
CVE-2016-6580 को अभी तक सक्रिय रूप से शोषण करने के लिए जाना नहीं जाता है, लेकिन इसकी गंभीरता और HTTP/2 प्रोटोकॉल की व्यापकता के कारण, यह संभावित रूप से शोषण योग्य है। यह भेद्यता KEV (Known Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, एक हमलावर एक PoC विकसित कर सकता है।
एक्सप्लॉइट स्थिति
EPSS
0.48% (65% शतमक)
CVSS वेक्टर
CVE-2016-6580 के लिए प्राथमिक शमन उपाय Python priority लाइब्रेरी को संस्करण 1.2.0 या बाद के संस्करण में अपग्रेड करना है। यदि अपग्रेड करना संभव नहीं है, तो HTTP/2 कनेक्शन के लिए इनबाउंड स्ट्रीम आईडी की संख्या को सीमित करने के लिए एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करने पर विचार करें। इसके अतिरिक्त, HTTP/2 कनेक्शन के लिए प्राथमिकता जानकारी को मान्य करने के लिए एप्लिकेशन-स्तरीय सुरक्षा जांच लागू करें। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता को ठीक कर दिया गया है, लाइब्रेरी के संस्करण की जांच करें।
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2016-6580 Python priority लाइब्रेरी में एक भेद्यता है जो दुर्भावनापूर्ण पीयर द्वारा अत्यधिक मेमोरी आवंटन का कारण बन सकती है, जिससे DoS हो सकता है।
यदि आप Python priority लाइब्रेरी के संस्करण 1.1.1 से कम या बराबर का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Python priority लाइब्रेरी को संस्करण 1.2.0 या बाद के संस्करण में अपग्रेड करें।
CVE-2016-6580 को अभी तक सक्रिय रूप से शोषण करने के लिए जाना नहीं जाता है, लेकिन यह संभावित रूप से शोषण योग्य है।
आप CVE विवरण और संबंधित जानकारी के लिए NVD (National Vulnerability Database) पर जा सकते हैं: https://nvd.nist.gov/vuln/detail/CVE-2016-6580
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।