Risque

  • Exécution de code arbitraire

Systèmes affectés

Les versions de 2.2 à 2.2.2 incluse de Python configurées sans la prise en compte du protocole IPv6.

Description

Python est un langage de programmation interprété, interactif et orienté objet. Dans l'environnement Unix, il est utilisé pour programmer de nombreuses applications.

Les versions 2.2 à 2.2.2 de Python, lorsqu'elles sont configurées pour ne pas prendre en compte le protocole IPv6, présentent une faille de sécurité dans la fonction getaddrinfo.

Un utilisateur distant mal intentionné peut exploiter cette faille pour confectionner une réponse de DNS malicieuse qui, lorsqu'elle est interprétée par une des versions vulnérables de Python, peut mener à l'exécution de code arbitraire.

Les versions de Python antérieures à 2.2 et à partir de 2.2.3 ne sont pas vulnérables à cette faille de sécurité.

Solution

Appliquer le correctif de sécurité. La distribution Debian a fourni un correctif de sécurité : Python 2.2 dans la version 2.2.1-4.3. La distribution Mandrake a fourni un correctif de sécurité : Python 2.2 dans la version 2.2.1-14.4.

Si l'éditeur de votre système d'exploitation n'a pas encore fourni un correctif « clef en main » pour une version vulnérable de Python 2.2, il est possible de compiler une version de Python supérieure ou égale à 2.2.3 à partir des sources.

Documentation