Dvije ranjivosti programskog paketa python

Uočena su i ispravljena dva sigurnosna propusta koje je udaljeni napadač mogao iskoristiti za otkrivanje osjetljivih informacija i napad uskraćivanjem usluga (DoS napad).

Paket:	python 3.x
Operacijski sustavi:	Ubuntu Linux 10.04, Ubuntu Linux 10.10, Ubuntu Linux 11.04
Kritičnost:	6.1
Problem:	neodgovarajuća provjera ulaznih podataka, neodgovarajuće rukovanje pogreškama, pogreška u programskoj komponenti
Iskorištavanje:	udaljeno
Posljedica:	otkrivanje osjetljivih informacija, uskraćivanje usluga (DoS)
Rješenje:	programska zakrpa proizvođača
CVE:	CVE-2010-3493, CVE-2011-1521
Izvorni ID preporuke:	USN-1314-1
Izvor:	Ubuntu

Problem:
Primijećene su greške u programskim komponentama "smtpd" i "urllib" zbog kojih ranjivi paket na neodgovarajući način obrađuje pogreške i zahtjeve za dohvatom pojedinih datoteka.
Posljedica:
Udaljeni napadač navedene nedostatke može iskoristiti za otkrivanje osjetljivih informacija i DoS (eng. Denial of Service) napad.
Rješenje:
Kako bi se zaštitili, korisnicima se savjetuje korištenje odgovarajuće nadogradnje.

Izvorni tekst preporuke

==========================================================================
Ubuntu Security Notice USN-1314-1
December 19, 2011

python3.1, python3.2 vulnerabilities
==========================================================================

A security issue affects these releases of Ubuntu and its derivatives:

- Ubuntu 11.04
- Ubuntu 10.10
- Ubuntu 10.04 LTS

Summary:

Applications using certain Python 3 modules could be made to crash or
expose sensitive information over the network.

Software Description:
- python3.1: An interactive high-level object-oriented language (version 3.1)
- python3.2: An interactive high-level object-oriented language (version 3.2)

Details:

Giampaolo Rodola discovered that the smtpd module in Python 3 did not
properly handle certain error conditions. A remote attacker could exploit
this to cause a denial of service via daemon outage. This issue only
affected Ubuntu 10.04 LTS. (CVE-2010-3493)

Niels Heinen discovered that the urllib module in Python 3 would process
Location headers that specify a file:// URL. A remote attacker could use
this to obtain sensitive information or cause a denial of service via
resource consumption. (CVE-2011-1521)

Update instructions:

The problem can be corrected by updating your system to the following
package versions:

Ubuntu 11.04:
  python3.1-minimal               3.1.3-1ubuntu1.1
  python3.2-minimal               3.2-1ubuntu1.1

Ubuntu 10.10:
  python3.1-minimal               3.1.2+20100915-0ubuntu4.1

Ubuntu 10.04 LTS:
  python3.1-minimal               3.1.2-0ubuntu3.1

In general, a standard system update will make all the necessary changes.
Daemons using the urllib or smtpd modules may also need to be restarted
after a pplying this update.

References:
  http://www.ubuntu.com/usn/usn-1314-1
  CVE-2010-3493, CVE-2011-1521

Package Information:
  https://launchpad.net/ubuntu/+source/python3.1/3.1.3-1ubuntu1.1
  https://launchpad.net/ubuntu/+source/python3.2/3.2-1ubuntu1.1
  https://launchpad.net/ubuntu/+source/python3.1/3.1.2+20100915-0ubuntu4.1
  https://launchpad.net/ubuntu/+source/python3.1/3.1.2-0ubuntu3.1

Dvije ranjivosti programskog paketa python

Tražilica portala

Aktivnosti

O CIS-u

Posljednje vijesti

Posljednji dokumenti

Dvije ranjivosti programskog paketa python

Tražilica portala

Aktivnosti

O CIS-u

Posljednje sigurnosne preporuke

Posljednje vijesti

Popularni članci

Posljednji dokumenti