Platform
python
Component
priority
Opgelost in
1.2.0
CVE-2016-6580 beschrijft een kwetsbaarheid in de Python priority bibliotheek, die gebruikt wordt voor HTTP/2 implementaties. Een aanvaller kan een denial-of-service (DoS) veroorzaken door de bibliotheek te dwingen onbeperkt geheugen te alloceren en de CPU te belasten. Deze kwetsbaarheid treft versies van de bibliotheek tot en met 1.1.1. De kwetsbaarheid is verholpen in versie 1.2.0.
Deze kwetsbaarheid stelt een aanvaller in staat om een denial-of-service aan te vallen op systemen die de Python priority bibliotheek gebruiken in hun HTTP/2 implementatie. Door een kwaadwillende peer te simuleren die constant prioriteitsinformatie voor alle HTTP/2 stream ID's toewijst, kan de aanvaller de priority tree in de bibliotheek dwingen om onbeperkt geheugen te alloceren. Dit leidt tot een geheugenuitputting, waardoor het systeem instabiel wordt en mogelijk crasht. De CPU-belasting neemt ook aanzienlijk toe, wat de prestaties verder aantast. De impact is vooral groot in omgevingen waar HTTP/2 intensief wordt gebruikt, zoals webservers en proxies.
CVE-2016-6580 werd publiekelijk bekendgemaakt op 10 januari 2017. Er zijn geen bekende actieve campagnes of publieke exploits gemeld. De kwetsbaarheid is opgenomen in de CISA KEV catalogus, wat wijst op een potentieel risico, hoewel er geen bewijs is van actieve uitbuiting. De complexiteit van het exploiteren van deze kwetsbaarheid kan de kans op uitbuiting beperken, maar het blijft een belangrijk beveiligingsrisico voor systemen die de kwetsbare bibliotheek gebruiken.
Exploit Status
EPSS
0.48% (65% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2016-6580 is het upgraden van de Python priority bibliotheek naar versie 1.2.0 of hoger. Indien een upgrade direct niet mogelijk is, kan het implementeren van een WAF (Web Application Firewall) helpen om kwaadwillende HTTP/2 verbindingen te blokkeren. Het monitoren van het geheugengebruik van Python processen is ook belangrijk om verdachte activiteit te detecteren. Er zijn geen specifieke configuratiewijzigingen die de kwetsbaarheid direct kunnen verhelpen, behalve het upgraden van de bibliotheek. Na de upgrade, controleer het geheugengebruik van de applicatie om te bevestigen dat de kwetsbaarheid is verholpen.
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2016-6580 is a HIGH severity vulnerability affecting the Python priority library versions up to 1.1.1. A malicious HTTP/2 peer can trigger unbounded memory allocation, leading to a denial-of-service.
You are affected if you are using the Python priority library version 1.1.1 or earlier. Check your library version using pip show priority.
Upgrade the Python priority library to version 1.2.0 or later using pip install priority==1.2.0.
There is no current evidence of active exploitation campaigns targeting CVE-2016-6580, but a public POC exists.
Refer to the Python security advisory for CVE-2016-6580: https://www.python.org/security/#CVE-2016-6580
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.