Las versiones de Python 2.2.* no actualizadas contienen un
desbordamiento de búfer que permite que un atacante remoto tire un
servicio o, en el peor de los casos, ejecute código arbitrario en la
máquina del usuario.
Python es un lenguaje de programación sencillo pero extremadamente
potente y versátil, cuya popularidad crece día a día.
Las versiones de python 2.2.* no actualizadas, cuando se compilan sin
soporte de IPv6, contienen una vulnerabilidad en la gestión de nombres
DNS (rutina “getaddrinfo()”). Un atacante malicioso puede devolver una
dirección IPv6 y “tirar” el servicio o provocar la ejecución de código
arbitrario.
Esta vulnerabilidad solo afecta a las versiones 2.2.* de Python, y solo
si se han compilado sin soporte IPv6.
Los usuarios que precisen usar la versión 2.2 de Python deben actualizar
a la versión 2.2.3, publicada en Mayo de 2003. Los usuarios que no
dependan de una versión determinada de Python deberían utilizar la
última versión que, en este momento, es la 2.3.3, publicada en Diciembre
de 2003.
jcea@hispasec.com
Más información:
Buffer overflow in the getaddrinfo in Python 2.2 allows remote attackers
to executer arbitrary code via an IPv6 address that is obtained using
DNS.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0150
Debian Security Advisory
DSA-458-1 python2.2 — buffer overflow
http://www.debian.org/security/2004/dsa-458
MandrakeSoft Security Advisory MDKSA-2004:019 : python
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:019
Python
http://www.python.org/
Python 2.2.3
http://www.python.org/2.2.3/
Python 2.3.3
http://www.python.org/2.3.3/
Deja un comentario