python-jose до версии 1.3.2 позволяет злоумышленникам оказывать неуказанное воздействие, используя отказ от использования сравнения HMAC-кл…
python-jose до версии 1.3.2 позволяет злоумышленникам оказывать неуказанное воздействие, используя отказ от использования сравнения HMAC-ключей с постоянным временем.
Данная категория представляет один из типов в классификации уязвимостей «Семь порочных королевств» (7PK). Она включает слабости, связанные с некорректным управлением временем и состоянием в среде, поддерживающей одновременные или почти одновременные вычисления несколькими системами, процессами или потоками. По словам авторов «Семи порочных королевств», «распределённые вычисления — это вопрос времени и состояния. Чтобы несколько компонентов могли взаимодействовать, состояние должно быть разделено, а на это требуется время. Большинство программистов очеловечивают свою работу, представляя один поток управления, выполняющий всю программу, как если бы это делал человек. Однако современные компьютеры переключаются между задачами очень быстро, а в многоядерных, многопроцессорных или распределённых системах два события могут произойти в точно одно и то же время. Дефекты возникают в разрыве между моделью выполнения программы у программиста и тем, что происходит в действительности. Эти дефекты связаны с непредвиденными взаимодействиями между потоками, процессами, временем и информацией, происходящими через разделяемое состояние: семафоры, переменные, файловую систему и, по существу, всё, что может хранить информацию.»
https://cwe.mitre.org/data/definitions/361.html →Открыть в коллекции CWE →| Продукт | Вендор | Статус |
|---|---|---|
| python-jose | Отслеживается | |
| python-jose | * | Отслеживается |