numpy
Opgelost in
1.13.3
CVE-2017-12852 beschrijft een Denial of Service (DoS) kwetsbaarheid in de numpy.pad functie van NumPy. Deze kwetsbaarheid ontstaat door het ontbreken van input validatie, waardoor een lege lijst of ndarray een oneindige lus kan veroorzaken. Dit kan leiden tot een DoS aanval waarbij de applicatie vastloopt of onbereikbaar wordt. De kwetsbaarheid treft NumPy versies 1.13.1 en eerder, en is verholpen in versie 1.13.3.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot een Denial of Service (DoS) aanval. Een aanvaller kan een speciaal ontworpen input (een lege lijst of ndarray) aan de numpy.pad functie doorgeven, waardoor een oneindige lus wordt gestart. Dit verbruikt CPU-resources en kan de applicatie die NumPy gebruikt, volledig stilleggen. De impact is significant, omdat het de beschikbaarheid van de applicatie in gevaar brengt en mogelijk de hele server kan beïnvloeden. Afhankelijk van de toepassing van NumPy, kan dit leiden tot dataverlies of verstoring van kritieke processen. Er zijn geen bekende gevallen van actieve exploitatie in de wildernis, maar de eenvoud van de exploitatie maakt het een potentieel risico.
CVE-2017-12852 werd publiekelijk bekendgemaakt op 15 augustus 2017. Er is geen indicatie van actieve exploitatie in de wildernis. De kwetsbaarheid heeft een lage EPSS score, wat wijst op een lage waarschijnlijkheid van exploitatie. Er zijn geen publieke proof-of-concept exploits beschikbaar.
Exploit Status
EPSS
0.81% (74% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden van NumPy naar versie 1.13.3 of hoger, waar de kwetsbaarheid is verholpen. Indien een upgrade direct niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van input validatie in de eigen code die de numpy.pad functie aanroept. Controleer de input op lege lijsten of ndarrays voordat deze aan de functie wordt doorgegeven. Het gebruik van een Web Application Firewall (WAF) kan helpen om verdachte requests te blokkeren, maar dit is geen volledige oplossing. Er zijn geen specifieke Sigma of YARA patronen bekend voor deze kwetsbaarheid, aangezien de exploitatie afhankelijk is van de interne werking van NumPy.
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2017-12852 is a Denial of Service vulnerability in NumPy versions 1.9.3 and earlier. An attacker can trigger an infinite loop in the numpy.pad function, causing a DoS.
If you are using NumPy version 1.9.3 or earlier, you are potentially affected. Check your NumPy version using pip show numpy or python -c "import numpy; print(numpy.version)".
Upgrade to NumPy version 1.13.3 or later. This version includes a fix for the input validation issue that causes the DoS vulnerability.
There is no current evidence of CVE-2017-12852 being actively exploited in the wild, but public POC code exists.
Refer to the NumPy security advisories and the related discussion on the NumPy mailing list for details: https://github.com/numpy/numpy/issues/9384
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.