Detectado un agujero de seguridad en Python

  • Por
Desbordamiento de búfer en versiones no actualizadas de Python.
Fuente: Hispasec

Las versiones de Python 2.2.* no actualizadas contienen un desbordamiento de búfer que permite que un atacante remoto tire un servicio o, en el peor de los casos, ejecute código arbitrario en la máquina del usuario.

Python es un lenguaje de programación sencillo pero extremadamente potente y versátil, cuya popularidad crece día a día.

Las versiones de python 2.2.* no actualizadas, cuando se compilan sin soporte de IPv6, contienen una vulnerabilidad en la gestión de nombres DNS (rutina "getaddrinfo()"). Un atacante malicioso puede devolver una dirección IPv6 y "tirar" el servicio o provocar la ejecución de código arbitrario.

Esta vulnerabilidad solo afecta a las versiones 2.2.* de Python, y solo si se han compilado sin soporte IPv6.

Los usuarios que precisen usar la versión 2.2 de Python deben actualizar a la versión 2.2.3, publicada en Mayo de 2003. Los usuarios que no dependan de una versión determinada de Python deberían utilizar la última versión que, en este momento, es la 2.3.3, publicada en Diciembre de 2003.

Más Información:

Buffer overflow in the getaddrinfo in Python 2.2 allows remote attackers to executer arbitrary code via an IPv6 address that is obtained using DNS. http://cve.mitre.org/cgi-bin/cvename.cgi

Debian Security Advisory
DSA-458-1 python2.2 -- buffer overflow
http://www.debian.org/security/2004/dsa-458

MandrakeSoft Security Advisory MDKSA-2004:019 : python
http://www.mandrakesecure.net/en/advisories/advisory.php

Python
http://www.python.org/

Python 2.2.3
http://www.python.org/2.2.3/

Python 2.3.3
http://www.python.org/2.3.3/

Autor

Miguel Angel Alvarez

Miguel es fundador de DesarrolloWeb.com y la plataforma de formación online EscuelaIT. Comenzó en el mundo del desarrollo web en el año 1997, transformando su hobby en su trabajo.

Compartir