Vulnérabilité dans Python System and Process Utilities (psutils)
Date de publication :
Une vulnérabilité concernant une librairie de python a récemment été corrigée.
CVE-2019-18874[Score CVSS v3 : 7.5] : Une vulnérabilité a été découverte dans la libraire “python-psutil”, utilisée pour récupérer des informations sur les processus en cours ainsi que sur les ressources machines (CPU, mémoire, disque, réseau, etc.). Certaines fonctions de cette librairie (psutil_disk_partitions(), psutil_users(), psutil_net_if_addrs(), etc.) présentent un problème de gestion de la mémoire de type “use-after-free” lors de la conversion de données systèmes en objets Python. Un attaquant distant et non-authentifié peut alors éventuellement créer un déni de service ainsi qu’injecter du code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de code arbitraire
- Déni de service
Criticité
- Score CVSS v3 : 7.5
Existence d’un code d’exploitation
- Il n’existe, à ce jour, aucun code d’exploitation connu publiquement.
Composants vulnérables
Tout logiciel utilisant la librairie psutils version 5.6.5 ou antérieur.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour python-psutils vers une version supérieur à 5.6.5
Solution de contournement
Il n’existe à ce jour aucun solution de contournement disponible.