CVE-2021-3737

Опубликовано: 04 мар. 2022

Источник: nvd

CVSS3: 7.5

CVSS2: 7.1

EPSS Низкий

Уязвимость бесконечного цикла в HTTP-клиенте Python из-за некорректной обработки HTTP-ответа

Описание

В Python обнаружена уязвимость в коде HTTP-клиента. Некорректная обработка HTTP-ответа может позволить удалённому злоумышленнику, контролирующему HTTP-сервер, заставить клиентский скрипт войти в бесконечный цикл, потребляя ресурсы процессора. Основная угроза этой уязвимости связана с нарушением доступности системы.

Тип уязвимости

Бесконечный цикл (infinite loop)
Нарушение доступности системы

Ссылки

https://bugs.python.org/issue44022
Exploit
Issue Tracking
Vendor Advisory
https://bugzilla.redhat.com/show_bug.cgi?id=1995162
Issue Tracking
Patch
Third Party Advisory
https://github.com/python/cpython/pull/25916
Patch
Third Party Advisory
https://github.com/python/cpython/pull/26503
Patch
Third Party Advisory
https://lists.debian.org/debian-lts-announce/2023/05/msg00024.html
https://lists.debian.org/debian-lts-announce/2023/06/msg00039.html
https://python-security.readthedocs.io/vuln/urllib-100-continue-loop.html
Patch
Third Party Advisory
https://security.netapp.com/advisory/ntap-20220407-0009/
Third Party Advisory
https://ubuntu.com/security/CVE-2021-3737
Patch
Third Party Advisory
https://www.oracle.com/security-alerts/cpujul2022.html
Patch
Third Party Advisory
https://bugs.python.org/issue44022
Exploit
Issue Tracking
Vendor Advisory
https://bugzilla.redhat.com/show_bug.cgi?id=1995162
Issue Tracking
Patch
Third Party Advisory
https://github.com/python/cpython/pull/25916
Patch
Third Party Advisory
https://github.com/python/cpython/pull/26503
Patch
Third Party Advisory
https://lists.debian.org/debian-lts-announce/2023/05/msg00024.html
https://lists.debian.org/debian-lts-announce/2023/06/msg00039.html
https://python-security.readthedocs.io/vuln/urllib-100-continue-loop.html
Patch
Third Party Advisory
https://security.netapp.com/advisory/ntap-20220407-0009/
Third Party Advisory
https://ubuntu.com/security/CVE-2021-3737
Patch
Third Party Advisory
https://www.oracle.com/security-alerts/cpujul2022.html
Patch
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:python:python:*:*:*:*:*:*:*:*

Версия от 3.6.0 (включая) до 3.6.14 (исключая)

cpe:2.3:a:python:python:*:*:*:*:*:*:*:*

Версия от 3.7.0 (включая) до 3.7.11 (исключая)

cpe:2.3:a:python:python:*:*:*:*:*:*:*:*

Версия от 3.8.0 (включая) до 3.8.11 (исключая)

cpe:2.3:a:python:python:*:*:*:*:*:*:*:*

Версия от 3.9.0 (включая) до 3.9.6 (исключая)

Конфигурация 2

Одно из

cpe:2.3:a:redhat:codeready_linux_builder:8.0:*:*:*:*:*:*:*

cpe:2.3:a:redhat:codeready_linux_builder_for_ibm_z_systems:8.0:*:*:*:*:*:*:*

cpe:2.3:a:redhat:codeready_linux_builder_for_power_little_endian:8.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux:6.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_for_ibm_z_systems:8.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_for_power_little_endian:8.0:*:*:*:*:*:*:*

Конфигурация 3

Одно из

cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:*

cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:*

Конфигурация 4

Одно из

cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:esm:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:esm:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:20.04:*:*:*:lts:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:21.04:*:*:*:*:*:*:*

Конфигурация 5

Одно из

cpe:2.3:a:netapp:hci:-:*:*:*:*:*:*:*

cpe:2.3:a:netapp:management_services_for_element_software:-:*:*:*:*:*:*:*

cpe:2.3:a:netapp:netapp_xcp_smb:-:*:*:*:*:*:*:*

cpe:2.3:a:netapp:ontap_select_deploy_administration_utility:-:*:*:*:*:*:*:*

cpe:2.3:a:netapp:xcp_nfs:-:*:*:*:*:*:*:*

Конфигурация 6

Одно из

cpe:2.3:a:oracle:communications_cloud_native_core_binding_support_function:22.1.3:*:*:*:*:*:*:*

cpe:2.3:a:oracle:communications_cloud_native_core_network_exposure_function:22.1.1:*:*:*:*:*:*:*

cpe:2.3:a:oracle:communications_cloud_native_core_policy:22.2.0:*:*:*:*:*:*:*

EPSS

Процентиль: 32%

0.0012

Низкий

7.5 High

CVSS3

7.1 High

CVSS2

Дефекты

CWE-835

CWE-400

Связанные уязвимости

CVE-2021-3737

CVSS3: 7.5

ubuntu

больше 3 лет назад

A flaw was found in python. An improperly handled HTTP response in the HTTP client code of python may allow a remote attacker, who controls the HTTP server, to make the client script enter an infinite loop, consuming CPU time. The highest threat from this vulnerability is to system availability.

CVE-2021-3737

CVSS3: 6.5

redhat

почти 4 года назад

CVE-2021-3737

CVSS3: 7.5

msrc

больше 3 лет назад

Описание отсутствует

CVE-2021-3737

CVSS3: 7.5

debian

больше 3 лет назад

A flaw was found in python. An improperly handled HTTP response in the ...

GHSA-hr7v-m862-8hh8

CVSS3: 7.5

github

около 3 лет назад

EPSS

Процентиль: 32%

0.0012

Низкий

7.5 High

CVSS3

7.1 High

CVSS2

Дефекты

CWE-835

CWE-400