製品・ソフトウェアに関する情報

JVN脆弱性詳細

Python におけるサービス運用妨害 (CPU 資源の消費) の脆弱性

タイトル	Python におけるサービス運用妨害 (CPU 資源の消費) の脆弱性
概要	Python は、ハッシュ衝突を想定した制限を行わずにハッシュ値を算出するため、サービス運用妨害 (CPU 資源の消費) 状態となる脆弱性が存在します。
想定される影響	攻撃者により、ハッシュテーブルを保持するアプリケーションに対する巧妙に細工された入力を介して、サービス運用妨害 (CPU 資源の消費) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2012年1月3日0:00
登録日	2012年10月9日17:56
最終更新日	2013年11月1日18:44

CVSS2.0 : 警告
スコア	5
ベクター	AV:N/AC:L/Au:N/C:N/I:N/A:P

影響を受けるシステム

アップル

Apple Mac OS X 10.9 未満

Python Software Foundation

Python 2.6.8 未満

Python 2.7.3 未満の 2.7.x

Python 3.1.5 未満の 3.x

Python 3.2.3 未満の 3.2.x

VMware

VMware ESX 3.5

VMware ESX 4.0

VMware ESX 4.1

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-1150	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1150
National Vulnerability Database (NVD)
2	CVE-2012-1150	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-1150

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-310	https://jvndb.jvn.jp/ja/cwe/CWE-310.html

ベンダー情報

No	名前	URL
Apple Mailing Lists
1	APPLE-SA-2013-10-22-3	http://lists.apple.com/archives/security-announce/2013/Oct/msg00004.html
Apple Security Updates
2	HT6011	http://support.apple.com/kb/HT6011
Apple セキュリティアップデート
3	HT6011	http://support.apple.com/kb/HT6011?viewlocale=ja_JP
Python
4	Issue13703	http://bugs.python.org/issue13703
5	Python 2.6.8	http://python.org/download/releases/2.6.8/
6	Python 2.7.3	http://python.org/download/releases/2.7.3/
7	Python 3.1.5	http://python.org/download/releases/3.1.5/
8	Python 3.2.3	http://python.org/download/releases/3.2.3/
Red Hat Bugzilla
9	Bug 750555	https://bugzilla.redhat.com/show_bug.cgi?id=750555
Red Hat Security Advisory
10	RHSA-2012-0744	https://rhn.redhat.com/errata/RHSA-2012-0744.html
Ubuntu Security Notice
11	USN-1596-1	http://www.ubuntu.com/usn/USN-1596-1
VMware Security Advisories
12	VMSA-2012-0016	http://www.vmware.com/security/advisories/VMSA-2012-0016.html

その他

No	名前	URL
JVN
1	JVNVU#95174988	http://jvn.jp/cert/JVNVU95174988/

変更履歴

No	変更内容	変更日
0	[2012年10月09日] 掲載 [2012年10月22日] ベンダ情報：Ubuntu (USN-1596-1) を追加 [2012年12月26日] 影響を受けるシステム：VMware (VMSA-2012-0016) の情報を追加ベンダ情報：VMware (VMSA-2012-0016) を追加 [2013年11月01日] 影響を受けるシステム：アップル (HT6011) の情報を追加ベンダ情報：アップル (HT6011) を追加ベンダ情報：アップル (APPLE-SA-2013-10-22-3) を追加参考情報：JVN (JVNVU#95174988) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2012-1150

概要	Python before 2.6.8, 2.7.x before 2.7.3, 3.x before 3.1.5, and 3.2.x before 3.2.3 computes hash values without restricting the ability to trigger hash collisions predictably, which allows context-dependent attackers to cause a denial of service (CPU consumption) via crafted input to an application that maintains a hash table.
公表日	2012年10月6日6:55
登録日	2021年1月28日14:55
最終更新日	2024年11月21日10:36

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:python:python:2.4.2:::::::*
cpe:2.3:a:python:python:2.5.1:::::::*
cpe:2.3:a:python:python:2.3.4:::::::*
cpe:2.3:a:python:python:2.6.6:::::::*
cpe:2.3:a:python:python:2.1:::::::*
cpe:2.3:a:python:python:2.0.1:::::::*
cpe:2.3:a:python:python:2.6.1:::::::*
cpe:2.3:a:python:python:2.3.1:::::::*
cpe:2.3:a:python:python:0.9.1:::::::*
cpe:2.3:a:python:python:2.1.2:::::::*
cpe:2.3:a:python:python:0.9.0:::::::*
cpe:2.3:a:python:python:1.6.1:::::::*
cpe:2.3:a:python:python:2.2.1:::::::*
cpe:2.3:a:python:python:2.5.4:::::::*
cpe:2.3:a:python:python:1.3:::::::*
cpe:2.3:a:python:python:2.6.3:::::::*
cpe:2.3:a:python:python:2.2.2:::::::*
cpe:2.3:a:python:python:2.1.1:::::::*
cpe:2.3:a:python:python:1.5.2:::::::*
cpe:2.3:a:python:python:2.6.2150:::::::*
cpe:2.3:a:python:python:2.3.3:::::::*
cpe:2.3:a:python:python:2.3.2:::::::*
cpe:2.3:a:python:python:1.6:::::::*
cpe:2.3:a:python:python:1.2:::::::*
cpe:2.3:a:python:python:2.4.6:::::::*
cpe:2.3:a:python:python:2.0:::::::*
cpe:2.3:a:python:python:2.2.3:::::::*
cpe:2.3:a:python:python::::::::		2.6.7
cpe:2.3:a:python:python:2.5.2:::::::*
cpe:2.3:a:python:python:2.3.7:::::::*
cpe:2.3:a:python:python:2.6.4:::::::*
cpe:2.3:a:python:python:2.6.6150:::::::*
cpe:2.3:a:python:python:2.5.3:::::::*
cpe:2.3:a:python:python:2.4.4:::::::*
cpe:2.3:a:python:python:2.5.150:::::::*
cpe:2.3:a:python:python:2.2:::::::*
cpe:2.3:a:python:python:2.6.2:::::::*
cpe:2.3:a:python:python:2.5.6:::::::*
cpe:2.3:a:python:python:2.3.5:::::::*
cpe:2.3:a:python:python:2.1.3:::::::*
cpe:2.3:a:python:python:2.4.1:::::::*
cpe:2.3:a:python:python:2.4.3:::::::*
cpe:2.3:a:python:python:2.6.5:::::::*

構成2	以上	以下	より上	未満
cpe:2.3:a:python:python:2.7.1:::::::*
cpe:2.3:a:python:python:2.7.1150:::::::*
cpe:2.3:a:python:python:2.7.1:rc1::::::
cpe:2.3:a:python:python:2.7.2:rc1::::::
cpe:2.3:a:python:python:2.7.2150:::::::*

構成3	以上	以下	より上	未満
cpe:2.3:a:python:python:3.1:::::::*
cpe:2.3:a:python:python:3.1.1:::::::*
cpe:2.3:a:python:python:3.0:::::::*
cpe:2.3:a:python:python:3.0.1:::::::*
cpe:2.3:a:python:python:3.1.2:::::::*
cpe:2.3:a:python:python:3.1.3:::::::*
cpe:2.3:a:python:python:3.1.4:::::::*

構成4	以上	以下	より上	未満
cpe:2.3:a:python:python:3.2.2150:::::::*
cpe:2.3:a:python:python:3.2:::::::*
cpe:2.3:a:python:python:3.2:alpha::::::

関連情報、対策とツール

No	URL	タグ
1	http://bugs.python.org/issue13703	Exploit
2	http://bugs.python.org/issue13703	Exploit
3	http://lists.apple.com/archives/security-announce/2013/Oct/msg00004.html
4	http://lists.apple.com/archives/security-announce/2013/Oct/msg00004.html
5	http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00040.html
6	http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00040.html
7	http://mail.python.org/pipermail/python-dev/2011-December/115116.html
8	http://mail.python.org/pipermail/python-dev/2011-December/115116.html
9	http://mail.python.org/pipermail/python-dev/2012-January/115892.html
10	http://mail.python.org/pipermail/python-dev/2012-January/115892.html
11	http://python.org/download/releases/2.6.8/	Patch Vendor Advisory
12	http://python.org/download/releases/2.6.8/	Patch Vendor Advisory
13	http://python.org/download/releases/2.7.3/	Patch Vendor Advisory
14	http://python.org/download/releases/2.7.3/	Patch Vendor Advisory
15	http://python.org/download/releases/3.1.5/	Patch Vendor Advisory
16	http://python.org/download/releases/3.1.5/	Patch Vendor Advisory
17	http://python.org/download/releases/3.2.3/	Patch Vendor Advisory
18	http://python.org/download/releases/3.2.3/	Patch Vendor Advisory
19	http://secunia.com/advisories/50858
20	http://secunia.com/advisories/50858
21	http://secunia.com/advisories/51087
22	http://secunia.com/advisories/51087
23	http://secunia.com/advisories/51089
24	http://secunia.com/advisories/51089
25	http://www.openwall.com/lists/oss-security/2012/03/10/3
26	http://www.openwall.com/lists/oss-security/2012/03/10/3
27	http://www.ubuntu.com/usn/USN-1592-1
28	http://www.ubuntu.com/usn/USN-1592-1
29	http://www.ubuntu.com/usn/USN-1596-1
30	http://www.ubuntu.com/usn/USN-1596-1
31	http://www.ubuntu.com/usn/USN-1615-1
32	http://www.ubuntu.com/usn/USN-1615-1
33	http://www.ubuntu.com/usn/USN-1616-1
34	http://www.ubuntu.com/usn/USN-1616-1
35	https://bugzilla.redhat.com/show_bug.cgi?id=750555
36	https://bugzilla.redhat.com/show_bug.cgi?id=750555

共通脆弱性一覧

構成1	以上	以下	より上	未満
cpe:2.3:a:python:python:2.4.2:::::::*
cpe:2.3:a:python:python:2.5.1:::::::*
cpe:2.3:a:python:python:2.3.4:::::::*
cpe:2.3:a:python:python:2.6.6:::::::*
cpe:2.3:a:python:python:2.1:::::::*
cpe:2.3:a:python:python:2.0.1:::::::*
cpe:2.3:a:python:python:2.6.1:::::::*
cpe:2.3:a:python:python:2.3.1:::::::*
cpe:2.3:a:python:python:0.9.1:::::::*
cpe:2.3:a:python:python:2.1.2:::::::*
cpe:2.3:a:python:python:0.9.0:::::::*
cpe:2.3:a:python:python:1.6.1:::::::*
cpe:2.3:a:python:python:2.2.1:::::::*
cpe:2.3:a:python:python:2.5.4:::::::*
cpe:2.3:a:python:python:1.3:::::::*
cpe:2.3:a:python:python:2.6.3:::::::*
cpe:2.3:a:python:python:2.2.2:::::::*
cpe:2.3:a:python:python:2.1.1:::::::*
cpe:2.3:a:python:python:1.5.2:::::::*
cpe:2.3:a:python:python:2.6.2150:::::::*
cpe:2.3:a:python:python:2.3.3:::::::*
cpe:2.3:a:python:python:2.3.2:::::::*
cpe:2.3:a:python:python:1.6:::::::*
cpe:2.3:a:python:python:1.2:::::::*
cpe:2.3:a:python:python:2.4.6:::::::*
cpe:2.3:a:python:python:2.0:::::::*
cpe:2.3:a:python:python:2.2.3:::::::*
cpe:2.3:a:python:python::::::::		2.6.7
cpe:2.3:a:python:python:2.5.2:::::::*
cpe:2.3:a:python:python:2.3.7:::::::*
cpe:2.3:a:python:python:2.6.4:::::::*
cpe:2.3:a:python:python:2.6.6150:::::::*
cpe:2.3:a:python:python:2.5.3:::::::*
cpe:2.3:a:python:python:2.4.4:::::::*
cpe:2.3:a:python:python:2.5.150:::::::*
cpe:2.3:a:python:python:2.2:::::::*
cpe:2.3:a:python:python:2.6.2:::::::*
cpe:2.3:a:python:python:2.5.6:::::::*
cpe:2.3:a:python:python:2.3.5:::::::*
cpe:2.3:a:python:python:2.1.3:::::::*
cpe:2.3:a:python:python:2.4.1:::::::*
cpe:2.3:a:python:python:2.4.3:::::::*
cpe:2.3:a:python:python:2.6.5:::::::*

構成3	以上	以下	より上	未満
cpe:2.3:a:python:python:3.1:::::::*
cpe:2.3:a:python:python:3.1.1:::::::*
cpe:2.3:a:python:python:3.0:::::::*
cpe:2.3:a:python:python:3.0.1:::::::*
cpe:2.3:a:python:python:3.1.2:::::::*
cpe:2.3:a:python:python:3.1.3:::::::*
cpe:2.3:a:python:python:3.1.4:::::::*