{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<p>Les versions de 2.2 \u00e0 2.2.2 incluse de  <TT>Python</TT> configur\u00e9es sans la prise en compte du protocole  IPv6.</p>","content":"## Description\n\nPython est un langage de programmation interpr\u00e9t\u00e9, interactif et orient\u00e9\nobjet. Dans l'environnement Unix, il est utilis\u00e9 pour programmer de\nnombreuses applications.\n\nLes versions 2.2 \u00e0 2.2.2 de Python, lorsqu'elles sont configur\u00e9es pour\nne pas prendre en compte le protocole IPv6, pr\u00e9sentent une faille de\ns\u00e9curit\u00e9 dans la fonction getaddrinfo.\n\nUn utilisateur distant mal intentionn\u00e9 peut exploiter cette faille pour\nconfectionner une r\u00e9ponse de DNS malicieuse qui, lorsqu'elle est\ninterpr\u00e9t\u00e9e par une des versions vuln\u00e9rables de Python, peut mener \u00e0\nl'ex\u00e9cution de code arbitraire.\n\nLes versions de Python ant\u00e9rieures \u00e0 2.2 et \u00e0 partir de 2.2.3 ne sont\npas vuln\u00e9rables \u00e0 cette faille de s\u00e9curit\u00e9.\n\n## Solution\n\nAppliquer le correctif de s\u00e9curit\u00e9. La distribution Debian a fourni un\ncorrectif de s\u00e9curit\u00e9 : Python 2.2 dans la version 2.2.1-4.3. La\ndistribution Mandrake a fourni un correctif de s\u00e9curit\u00e9 : Python 2.2\ndans la version 2.2.1-14.4.\n\nSi l'\u00e9diteur de votre syst\u00e8me d'exploitation n'a pas encore fourni un\ncorrectif \u00ab clef en main \u00bb pour une version vuln\u00e9rable de Python 2.2, il\nest possible de compiler une version de Python sup\u00e9rieure ou \u00e9gale \u00e0\n2.2.3 \u00e0 partir des sources.\n","cves":[],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 Mandrake MDKSA-2004:019 du 09 mars    2004 :","url":"http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:019"},{"title":"Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200409-03 du 02 septembre    2004 :","url":"http://www.gentoo.org/security/en/glsa/glsa-200409-03.xml"},{"title":"Site Internet officiel du projet Python (t\u00e9l\u00e9chargement) :      http://www.python.org/download","url":"http://www.python.org/download/"},{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 du paquetage NetBSD python22 :","url":"ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/lang/python22/README.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-458 du 09 mars 2004 :","url":"http://www.debian.org/security/2004/dsa-458"}],"reference":"CERTA-2004-AVI-076","revisions":[{"description":"version initiale.","revision_date":"2004-03-10T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 Gentoo et NetBSD.","revision_date":"2004-09-03T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire"}],"summary":null,"title":"Python 2.2 : D\u00e9bordement de variable dans la gestion des r\u00e9ponses du DNS","vendor_advisories":[{"published_at":null,"title":"CVE CAN-2004-150","url":null},{"published_at":null,"title":"Avis Mandrake : MDKSA-2004:019","url":null},{"published_at":null,"title":"Debian Security Advisory DSA 458-1","url":null}]}