Python asyncio ranjivost pogađa Windows aplikacije
U Python asyncio modulu otkrivena je ranjivost CVE-2026-3298, koja na Windows sistemima može dovesti do out-of-bounds upisa u memoriju. Problem se nalazi u metodi sock_recvfrom_into() unutar asyncio.ProactorEventLoop, koji je podrazumevani event loop na Windowsu od Python 3.8 verzije. Greška nastaje zbog nedostajuće provere granica pri radu sa nbytes parametrom, pa posebno ugrožava aplikacije koje obrađuju mrežni saobraćaj i koriste neproverene ulazne podatke. Linux, macOS i drugi Unix sistemi nisu pogođeni istim propustom jer koriste drugi backend.
Za organizacije koje na Windows serverima koriste Python za web servise, API-je ili UDP komunikaciju, ova ranjivost traži brzu proveru izloženosti. Posebno je nezgodno što se problem nalazi u standardnoj biblioteci, pa može biti prisutan i u aplikacijama koje timovi ne doživljavaju kao rizične na prvi pogled.
- Proveriti da li Windows aplikacije koriste asyncio.ProactorEventLoop i sock_recvfrom_into() sa nbytes parametrom
- Pratiti zvanične Python bezbednosne objave i nadograditi čim zakrpljene verzije budu dostupne
- Izbegavati korišćenje ranjive metode u servisima koji obrađuju nepoverljiv mrežni saobraćaj
- Pregledati aplikacije koje koriste UDP ili promenljive dužine mrežnih poruka u fiksnim bufferima
- Kod javno dostupnih servisa dodati dodatne provere veličine ulaznih podataka pre obrade