Security Lab

Множественные уязвимости в Python

Дата публикации:13.08.2013
Дата изменения:30.12.2013
Всего просмотров:3237
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:7
CVSSv2 рейтинг: 4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C)
CVE ID: CVE-2013-4238
CVE-2013-1752
Вектор эксплуатации: Удаленная
Воздействие: Отказ в обслуживании
Спуфинг атака
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Python 2.6.x
Python 2.7.x
Python 3.x
Уязвимые версии:
Python 3.4
Python 3.3
Python 3.2
Python 2.7
Python 2.6

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю совершить спуфинг атаку и вызвать отказ в обслуживании.

1. Уязвимость существует из-за того, что модуль SSL неправильно обрабатывает NULL bytes в "subjectAltNames". Удаленный пользователь может совершить атаку «человек по середине» и получить доступ к важным данным.

2. Уязвимость существует из-за неограниченного вызова функции "readline()" в файле Lib/httplib.py. Удаленный пользователь может потребить все доступные ресурсы на системе.

3. Уязвимость существует из-за неограниченного вызова функции "readline()" в файле Lib/ftplib.py. Удаленный пользователь может потребить все доступные ресурсы на системе.

4. Уязвимость существует из-за неограниченного вызова функции "readline()" в файле Lib/imaplib.py. Удаленный пользователь может потребить все доступные ресурсы на системе.

5. Уязвимость существует из-за неограниченного вызова функции "readline()" в файле Lib/nntplib.py. Удаленный пользователь может потребить все доступные ресурсы на системе.

6. Уязвимость существует из-за неограниченного вызова функции "readline()" в файле Lib/poplib.py. Удаленный пользователь может потребить все доступные ресурсы на системе.

7. Уязвимость существует из-за неограниченного вызова функции "readline()" в файле Lib/smtplib.py. Удаленный пользователь может потребить все доступные ресурсы на системе.

URL производителя: http://python.org/

Решение: Установите последнюю версию 2.6.9 с сайта производителя.

Ссылки: http://www.python.org/getit/releases/2.6.9/
http://bugs.python.org/issue18709
http://bugs.python.org/issue16037
http://bugs.python.org/issue16038
http://bugs.python.org/issue16039
http://bugs.python.org/issue16040
http://bugs.python.org/issue16041
http://bugs.python.org/issue16042
Журнал изменений: a:2:{s:4:"TEXT";s:101:"

30.12.2013 - обновлено описание уязвимостей, добавлены уязвимости #2-7, изменена секция "Решение".";s:4:"TYPE";s:4:"html";}