Eine Schwachstelle in Python hat zur Folge, dass ein entfernter Angreifer Denial-of-Service-Attacke gegen betroffene Systeme durchführen kann.
Die Sicherheitslücke liegt in dem Elementtree C Accelerator Programmcode. Das Problem besteht darin, dass der Accelerator die XML_SetHashSalt()-Funktion nicht aufruft. Dadurch wird der Expat Hash Salt während der Initialisierung nicht korrekt gesetzt. Hierdurch kann ein Angreifer dann sehr effizient Hash-Kollisionen erzeugen. Dazu muss er lediglich eine geschickt konstuierte XML-Datei verwenden. Sobald diese von der Ziel-Python-Applikation geladen wird, kommt es zu sehr vielen dieser Hash-Kollisionen in internen Datenstrukturen von Expat.
Diese Kollisionen haben zur Folge, dass sehr viele CPU- und Speicherresourcen auf dem Zielsystem verbraucht werden. Nach einer gewissen Zeit kann der Angreifer so das betroffene System in die Knie zwingen.
