CVE-2022-48566

Опубликовано: 22 авг. 2023

Источник: nvd

CVSS3: 5.9

EPSS Низкий

Уязвимость оптимизаций, нарушающих постоянное время выполнения, в "compare_digest" из "Lib/hmac.py" в Python

Описание

В Python, в рамках библиотеки Lib/hmac.py, функция compare_digest демонстрирует уязвимость оптимизаций, которые нарушают постоянное время выполнения. Это происходит из-за некорректной обработки переменной аккумулятора в hmac.compare_digest.

Затронутые версии ПО

Python версии вплоть до 3.9.1

Тип уязвимости

Нарушение постоянного времени выполнения

Ссылки

https://bugs.python.org/issue40791
Exploit
Issue Tracking
Patch
Vendor Advisory
https://lists.debian.org/debian-lts-announce/2023/09/msg00022.html
Mailing List
Third Party Advisory
https://lists.debian.org/debian-lts-announce/2023/10/msg00017.html
Mailing List
Third Party Advisory
https://security.netapp.com/advisory/ntap-20231006-0013/
Third Party Advisory
https://bugs.python.org/issue40791
Exploit
Issue Tracking
Patch
Vendor Advisory
https://lists.debian.org/debian-lts-announce/2023/09/msg00022.html
Mailing List
Third Party Advisory
https://lists.debian.org/debian-lts-announce/2023/10/msg00017.html
Mailing List
Third Party Advisory
https://security.netapp.com/advisory/ntap-20231006-0013/
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:python:python:*:*:*:*:*:*:*:*

Версия до 3.6.13 (исключая)

cpe:2.3:a:python:python:*:*:*:*:*:*:*:*

Версия от 3.7.0 (включая) до 3.7.10 (исключая)

cpe:2.3:a:python:python:*:*:*:*:*:*:*:*

Версия от 3.8.0 (включая) до 3.8.7 (исключая)

cpe:2.3:a:python:python:*:*:*:*:*:*:*:*

Версия от 3.9.0 (включая) до 3.9.1 (исключая)

Конфигурация 2

cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*

Конфигурация 3

Одно из

cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:vmware_vsphere:*:*

cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:windows:*:*

cpe:2.3:a:netapp:converged_systems_advisor_agent:-:*:*:*:*:*:*:*

EPSS

Процентиль: 18%

0.00057

Низкий

5.9 Medium

CVSS3

Дефекты

CWE-362

Связанные уязвимости

CVE-2022-48566

CVSS3: 5.9

ubuntu

почти 2 года назад

An issue was discovered in compare_digest in Lib/hmac.py in Python through 3.9.1. Constant-time-defeating optimisations were possible in the accumulator variable in hmac.compare_digest.

CVE-2022-48566

CVSS3: 5.9

redhat

почти 2 года назад

An issue was discovered in compare_digest in Lib/hmac.py in Python through 3.9.1. Constant-time-defeating optimisations were possible in the accumulator variable in hmac.compare_digest.

CVE-2022-48566

CVSS3: 5.9

debian

почти 2 года назад

An issue was discovered in compare_digest in Lib/hmac.py in Python thr ...

GHSA-cgfh-jp5w-8cmx

CVSS3: 8.1

github

почти 2 года назад

An issue was discovered in compare_digest in Lib/hmac.py in Python through 3.9.1. Constant-time-defeating optimisations were possible in the accumulator variable in hmac.compare_digest.

BDU:2023-06654

CVSS3: 8.1

fstec

больше 2 лет назад

Уязвимость функции hmac.compare_digest библиотеки Lib/hmac.py интерпретатора языка программирования Python, позволяющая нарушителю повысить свои привилегии

EPSS

Процентиль: 18%

0.00057

Низкий

5.9 Medium

CVSS3

Дефекты

CWE-362