Nivel de peligrosidad: ALTO

CVE-2020-14422: Se ha publicado una vulnerabilidad en el conocido lenguaje de programación Python. Concretamente la vulnerabilidad afecta a Python 3 y está ubicada en la librería ipaddress.py cuando calcula de forma incorrecta los valores hash en las clases IPv4Interface e IPv6Interface.

Las funciones hash de estas clases siempre devuelven cadenas de 32 y 64 caracteres respectivamente. Si IPv4Interface o IPv6Interface se colocan en un diccionario, por ejemplo en un servidor que almacena direcciones IP, esto provocará colisiones hash, lo que a su vez puede conducir a situaciones de denegación de servicio (DoS).

La base de datos del NIST ha asignado al CVE-2020-14422 una criticidad de 7.5 (CVSSv3) y hasta la fecha no se conoce actividad dañina en la red, ni la disponibilidad de exploits que aprovechen esta vulnerabilidad. 

Recursos afectados:

• Python en sus versiones 3.10, 3.9, 3.8, 3.7, 3.6 y 3.5.

Solución a la vulnerabilidad:

Según los investigadores que han reportado el fallo, la solución es simple y pasa por modificar ciertos valores en la librería ipaddress.py. Para ello, han publicado un parche que soluciona el problema, disponible desde el siguiente enlace:

• https://github.com/python/cpython/commit/9a646aa82dfa62d70ca2a99ada901ee6cf9f82bd

Recomendaciones:

El CERT de Entelgy Innotec Security, recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad o actualizaciones en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento no se conocen medidas de mitigación alternativas a esta vulnerabilidad en caso de no ser posible aplicar el parche descrito.

Referencias:

• Python issue 41004 - Hash collisions in IPv4Interface and IPv6Interface
• bpo-41004: Resolve hash collisions for IPv4Interface and IPv6Interface