Érintett rendszerek
PythonPython Software Foundation
Érintett verziók
Python Software Foundation Python 2.4.x , 2.5.x
Összefoglaló
A Python több olyan sérülékenységét is azonosították, melyeket a támadók szolgáltatás megtagadás okozására vagy a sérülékeny rendszer feltörésére használhatnak ki.
Leírás
A Python több olyan sérülékenységét is azonosították, melyeket a támadók szolgáltatás megtagadás okozására vagy a sérülékeny rendszer feltörésére használhatnak ki.
- Több fő modulban is van egész túlcsordulási hiba, pl. a stringobject,
unicodeobject, bufferobject, longobject, tupleobject, stropmodule, gcmodule és a
mmapmodule modulban. - A hashlib modul egész túlcsordulás hibája a titkosítás feloldását megbízhatatlanná
teszi. - Az unicode stringek feldolgozásakor fellépő egész túlcsordulási hibát kihasználva
puffer túlcsordulás okozható 32 bites rendszereken. - Az olyan architektúrákon, melyeken nincs “vsnprintf()” függvény, a PyOS_vsnprintf()
függvénynek egész túlcsordulás hibája van. - A PyOS_vsnprintf() függvénynek átadott nulla hosszúságú string egész alulcsordulást okoz, amely a memória tartalom megváltozását eredményezheti.
Némelyik sérülékenység sikeres kiaknázása az alkalmazás összeomlását idézheti elő vagy tetszőleges kód futtatását teheti lehetővé, bár ez függ a Python alkalmazás kivitelezésétől.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2008-2316 - NVD CVE-2008-2316
CVE-2008-2315 - NVD CVE-2008-2315
SECUNIA 31305
Egyéb referencia: www.vupen.com
Egyéb referencia: bugs.gentoo.org
Gyártói referencia: bugs.python.org
Egyéb referencia: bugs.gentoo.org
Gyártói referencia: bugs.python.org
Gyártói referencia: bugs.python.org
Gyártói referencia: svn.python.org
CVE-2008-3142 - NVD CVE-2008-3142
CVE-2008-3144 - NVD CVE-2008-3144