प्लेटफ़ॉर्म
python
घटक
numpy
में ठीक किया गया
1.13.3
NumPy एक शक्तिशाली पायथन लाइब्रेरी है जिसका उपयोग वैज्ञानिक कंप्यूटिंग के लिए किया जाता है। CVE-2017-12852 एक Denial of Service (DoS) भेद्यता है जो NumPy के 1.9.3 और पुराने संस्करणों को प्रभावित करती है। यह भेद्यता numpy.pad फ़ंक्शन में एक इनपुट सत्यापन त्रुटि के कारण होती है, जो एक हमलावर को सिस्टम को क्रैश करने के लिए प्रेरित कर सकती है। संस्करण 1.13.3 में इस समस्या का समाधान किया गया है।
यह भेद्यता एक हमलावर को NumPy का उपयोग करने वाले एप्लिकेशन को DoS हमले से पीड़ित करने की अनुमति देती है। एक हमलावर numpy.pad फ़ंक्शन को एक खाली सूची या ndarray के साथ कॉल करके ऐसा कर सकता है, जिससे फ़ंक्शन अनंत लूप में फंस जाएगा। इससे एप्लिकेशन क्रैश हो सकता है या अनुपलब्ध हो सकता है। इस भेद्यता का उपयोग अन्य हमलों को लॉन्च करने के लिए भी किया जा सकता है, जैसे कि डेटा चोरी या सिस्टम नियंत्रण। चूंकि NumPy व्यापक रूप से वैज्ञानिक कंप्यूटिंग और डेटा विश्लेषण में उपयोग किया जाता है, इसलिए इस भेद्यता का प्रभाव व्यापक हो सकता है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसके लिए सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हैं। CVE को 2017-08-15 को प्रकाशित किया गया था। इस भेद्यता का उपयोग करने के लिए सक्रिय अभियान की कोई रिपोर्ट नहीं है, लेकिन इसकी संभावना को कम नहीं आंका जा सकता है, खासकर उन सिस्टमों पर जो अभी भी पुराने NumPy संस्करण चला रहे हैं।
एक्सप्लॉइट स्थिति
EPSS
0.81% (74% शतमक)
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, NumPy को संस्करण 1.13.3 या बाद के संस्करण में अपग्रेड करने की अनुशंसा की जाती है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, इनपुट को मान्य करने के लिए numpy.pad फ़ंक्शन के उपयोग को सीमित किया जा सकता है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके दुर्भावनापूर्ण अनुरोधों को ब्लॉक किया जा सकता है। NumPy के उपयोग को सीमित करने के लिए, सुनिश्चित करें कि केवल विश्वसनीय इनपुट ही numpy.pad फ़ंक्शन को पास किए जाएं।
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2017-12852 NumPy लाइब्रेरी में एक Denial of Service (DoS) भेद्यता है जो 1.9.3 और पुराने संस्करणों को प्रभावित करती है। यह numpy.pad फ़ंक्शन में इनपुट सत्यापन की कमी के कारण है।
यदि आप NumPy के संस्करण 1.9.3 या उससे कम का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
NumPy को संस्करण 1.13.3 या बाद के संस्करण में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो इनपुट को मान्य करने के लिए numpy.pad फ़ंक्शन के उपयोग को सीमित करें।
CVE-2017-12852 के लिए सक्रिय शोषण की कोई रिपोर्ट नहीं है, लेकिन सार्वजनिक PoC उपलब्ध हैं।
NumPy सलाहकार के लिए, कृपया NumPy वेबसाइट और संबंधित सुरक्षा बुलेटिन देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।