The Wave_read._read_fmt_chunk function in Lib/wave.py in Python through 3.6.4 does not ensure a nonzero channel value, which allows attackers to cause a denial of service (divide-by-zero and exception) via a crafted wav format audio file. NOTE: the vendor disputes this issue because Python applications "need to be prepared to handle a wide variety of exceptions.
** EN DISPUTA ** La función Wave_read._read_fmt_chunk en Lib/wave.py en Python, hasta la versión 3.6.4, no garantiza un valor de canal nonzero, lo que permite que atacantes remotos provoquen una denegación de servicio (error de división entre cero y cierre inesperado de la aplicación) mediante un archivo de audio wav manipulado. NOTA: el vendedor informa que las aplicaciones de Python "necesitan estar preparadas para manejar una amplia variedad de excepciones".
An update that solves 26 vulnerabilities and has 30 fixes is now available. This update for python3 to version 3.6.10 fixes the following issues. Fixed a denial of service in Wave_read._read_fmt_chunk. Fixed an issue where email parsing could fail for multiple @. Fixed a heap-based buffer over-read in libexpat. This update was imported from the SUSE:SLE-15:Update update project.
