Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a SSLSocket de Python, que permitiría a un atacante eludir el protocolo de enlace TLS e insertar una consulta especialmente diseñada en la conexión.
La vulnerabilidad identificada como CVE-2023-40217, sin severidad ni puntuación asignada de aún. Esta vulnerabilidad se debe a una falla en la implementación del módulo SSLSocket de Python. Esto permitiría a un atacante a través del envío de una solicitud HTTP especialmente diseñada, realizar omisión del protocolo de enlace TLS y obtener acceso a los recursos del servidor afectado. Las versiones afectadas son:
- Python, versión 3.12.0a1 a 3.12.0rc1.
- Python, versión 3.11.0 a 3.11.4.
- Python, versión 3.10.0 a 3.10.12.
- Python, versión 3.9.0 a 3.9.17.
- Python, versión 3.8.0 a 3.8.17.
- Python, versión 3.7.17 y anteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por el proveedor en la siguiente guía:
Referencias: