CH azonosító
CH-4603Angol cím
Python urllib.request "file://" Redirect Security IssueFelfedezés dátuma
2011.03.24.Súlyosság
KözepesÖsszefoglaló
A Python olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak bizalmas információk felfedésére vagy szolgáltatás megtagadást (DoS – Denial of Service) előidézésére.
Leírás
A sérülékenységet az urllib.request átirányítás kezelés okozza, amely megengedi a “file://” URL használatát. Ez kihasználható bizalmas információk felfedésére vagy magas erőforrás felhasználás okozására speciálisan kialakított HTTP átirányítás válaszok visszaküldésével az urllib.request modult használó Python alkalmazásnak.
Megoldás
Korlátozza a “file://” URL-eket a tűzfal szűrési képességeinek használatával!
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 43883
Gyártói referencia: bugs.python.org