Risque
Exécution de code arbitraire à distance.
Systèmes affectés
- Toutes les versions de Python 2.2 ;
- toutes les versions de Python 2.3 antérieure à la version 2.3.5 ;
- toutes les versions de Python 2.4.
Description
Python est un langage de programmation interprété, interactif et orienté objet.
Une vulnérabilité dans SimpleXMLRPCServer permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance avec les droits du serveur XML-RPC.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site Internet de Python :
http://www.python.org
- Bulletin de sécurité Python PSF-2005-001 du 03 février 2005 :
http://www.python.org/security/PSF-2005-001
- Bulletin de sécurité Debian DSA-666 du 04 février 2005 :
http://www.debian.org/security/2005/dsa-666
- Bulletin de sécurité Gentoo GLSA 200502-09 du 08 février 2005 :
http://www.gentoo.org/security/en/glsa/glsa-200502-09.xml
- Bulletin de sécurité Mandrake MDKSA-2005:035 du 10 février 2005 :
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2005:035
- Bulletin de sécurité RedHat RHSA-2005:109 du 14 février 2005 :
http://rhn.redhat.com/errata/RHSA-2005-109.html
- Bulletin de sécurité RedHat RHSA-2005:108 du 17 février 2005 :
http://rhn.redhat.com/errata/RHSA-2005-108.html
- Mise à jour de sécurité des paquetages NetBSD python22, python23 et python24 :
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/lang/python22/README.html
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/lang/python23/README.html
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/lang/python24/README.html
- Référence CVE CAN-2005-0089 :
https://www.cve.org/CVERecord?id=CAN-2005-0089
