Множественные уязвимости в Python

Дата публикации:
13.08.2013
Дата изменения:
30.12.2013
Всего просмотров:
2383
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
7
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
CVE ID:
CVE-2013-4238
CVE-2013-1752
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
Спуфинг атака
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Python 2.6.x
Python 2.7.x
Python 3.x
Уязвимые версии:
Python 3.4
Python 3.3
Python 3.2
Python 2.7
Python 2.6

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю совершить спуфинг атаку и вызвать отказ в обслуживании.

1. Уязвимость существует из-за того, что модуль SSL неправильно обрабатывает NULL bytes в "subjectAltNames". Удаленный пользователь может совершить атаку «человек по середине» и получить доступ к важным данным.

2. Уязвимость существует из-за неограниченного вызова функции "readline()" в файле Lib/httplib.py. Удаленный пользователь может потребить все доступные ресурсы на системе.

3. Уязвимость существует из-за неограниченного вызова функции "readline()" в файле Lib/ftplib.py. Удаленный пользователь может потребить все доступные ресурсы на системе.

4. Уязвимость существует из-за неограниченного вызова функции "readline()" в файле Lib/imaplib.py. Удаленный пользователь может потребить все доступные ресурсы на системе.

5. Уязвимость существует из-за неограниченного вызова функции "readline()" в файле Lib/nntplib.py. Удаленный пользователь может потребить все доступные ресурсы на системе.

6. Уязвимость существует из-за неограниченного вызова функции "readline()" в файле Lib/poplib.py. Удаленный пользователь может потребить все доступные ресурсы на системе.

7. Уязвимость существует из-за неограниченного вызова функции "readline()" в файле Lib/smtplib.py. Удаленный пользователь может потребить все доступные ресурсы на системе.

URL производителя: http://python.org/

Решение: Установите последнюю версию 2.6.9 с сайта производителя.

Ссылки: http://www.python.org/getit/releases/2.6.9/
http://bugs.python.org/issue18709
http://bugs.python.org/issue16037
http://bugs.python.org/issue16038
http://bugs.python.org/issue16039
http://bugs.python.org/issue16040
http://bugs.python.org/issue16041
http://bugs.python.org/issue16042
Журнал изменений:

30.12.2013 - обновлено описание уязвимостей, добавлены уязвимости #2-7, изменена секция "Решение".

или введите имя

CAPTCHA