Unbounded Memory Buffering Sicherheitslücke in Python 3.12 Asyncio entdeckt

Am 6. Dezember 2024 wurde die Sicherheitslücke (CVE-2024-12254) in CPython bekannt, die Nutzer von Python 3.12.0 und höher betrifft. Die Methode asyncio._SelectorSocketTransport.writelines() pausiert nicht mehr automatisch, wenn der Schreibpuffer den sogenannten „High-Water-Mark“ erreicht. Dies führt dazu, dass der Puffer nicht geleert wird, was zu einem unkontrollierten Speicherverbrauch und letztlich zu einem Systemabsturz führen kann.

Die Schwachstelle betrifft nur Nutzer, die die spezifische Kombination aus Python 3.12, macOS/Linux, dem Asyncio-Modul und der neuen Zero-Copy-On-Write-Funktionalität verwenden. Andere Anwendungen von Python sind nicht betroffen.

Überprüfen Sie Ihre Python-Installationen und aktualisieren Sie betroffene Umgebungen, sobald ein Patch veröffentlicht wird. Weitere Informationen und Updates finden Sie unter CVE-2024-12254 und im entsprechenden GitHub-Pull-Request.

Related Posts

Java: Kritische Schwachstelle in async-http-client: Automatischer CookieStore ersetzt explizit definierte Cookies

Eine kürzlich veröffentlichte Sicherheitswarnung weist auf eine kritische Schwachstelle in der Bibliothek async-http-client hin, die zahlreiche Backend-Dienste potenziell gefährden kann. Die Schwachstelle mit der CVE-ID CVE-2024-53990 betrifft alle Versionen bis einschließlich 3.0.0 und wurde in der Version 3.0.1 behoben. Entwickler, die diese Bibliothek verwenden, sind dringend aufgefordert, ein Update durchzuführen, um das Sicherheitsrisiko zu minimieren.

Read More

Kritische Sicherheitslücken in der Veeam Service Provider Console

Am 3. Dezember 2024 hat Veeam die Entdeckung und Behebung zweier Sicherheitslücken in der Veeam Service Provider Console (VSPC) Version 8.1 öffentlich bekanntgegeben. Diese Schwachstellen, die als CVE-2024-42448 und CVE-2024-42449 klassifiziert wurden, stellen erhebliche Risiken dar und wurden während interner Tests identifiziert.

Read More

Dell NetWorker Sicherheitsupdate gegen Auth Bypass CVE-2024-42422

Dell Technologies hat am 3.12.2024 ein Sicherheitsupdate für die beliebte Backup Software Dell NetWorker veröffentlicht, das eine schwerwiegende Schwachstelle adressiert. Die Schwachstelle mit der Bezeichnung CVE-2024-42422 betrifft den Dell NetWorker Client und könnte von böswilligen Akteuren ausgenutzt werden, um sensible Informationen offenzulegen und möglicherweise das betroffene System zu kompromittieren. Die Schwachstelle betrifft Versionen vor 19.10.0.6.

Read More