Unbounded Memory Buffering Sicherheitslücke in Python 3.12 Asyncio entdeckt
Am 6. Dezember 2024 wurde die Sicherheitslücke (CVE-2024-12254) in CPython bekannt, die Nutzer von Python 3.12.0 und höher betrifft. Die Methode asyncio._SelectorSocketTransport.writelines() pausiert nicht mehr automatisch, wenn der Schreibpuffer den sogenannten „High-Water-Mark“ erreicht. Dies führt dazu, dass der Puffer nicht geleert wird, was zu einem unkontrollierten Speicherverbrauch und letztlich zu einem Systemabsturz führen kann.
Die Schwachstelle betrifft nur Nutzer, die die spezifische Kombination aus Python 3.12, macOS/Linux, dem Asyncio-Modul und der neuen Zero-Copy-On-Write-Funktionalität verwenden. Andere Anwendungen von Python sind nicht betroffen.
Überprüfen Sie Ihre Python-Installationen und aktualisieren Sie betroffene Umgebungen, sobald ein Patch veröffentlicht wird. Weitere Informationen und Updates finden Sie unter CVE-2024-12254 und im entsprechenden GitHub-Pull-Request.