• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Бюллетень безопасности RHSA-2011:0492-01

Главная Специалистам База уязвимостей Бюллетень безопасности RHSA-2011:0492-01

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:N/A:P)
Производитель ПО
Наименование ПО
python (any) python-devel (any) python-libs (any) python-tools (any) tkinter (any)
Описание
Python - это интерактивный язык объектно-ориентированного программирования.
Ошибка обнаружена в библиотеках Python urllib и urllib2 в том, что они не отличают различные URL при обработке автоматических перенаправлений. Поэтому Python-приложения, использующие эти модули, осуществляют переход по любому URL, включая URL типа "file://". Данная уязвимость позволяет удаленному серверу заставить локальное Python-приложение читать локальный файл вместе удаленного, что может позволить получить доступ к локальным файлам. (CVE-2011-1521)
Ошибка, связанная с условиями "race condition", обнаружена в модуле Python smtpd при обработке новых подключений. Удаленный пользователь может использовать данную уязвимость, чтобы вызвать отказ в обслуживании сценария Python, который использует модуль smtpd. (CVE-2010-3493)
Ошибка, связанная с разглашением данных, обнаружена в модуле Python
CGIHTTPServer при обработке некоторых запросов HTTP GET. Злоумышленник, действующий удаленно, может использовать специально сформированный запрос, чтобы получить исходный код сценария CGI. (CVE-2011-1015)
Ошибка, связанная с переполнением буфера, обнаружена в Python Expat при обработке некоторых последовательностей UTF-8 в XML-файлах. Специально сформированный XML-файл может вызвать аварийное завершение работы приложений Python, использующих Python Expat,  при обработке такого файла. (CVE-2009-3720)
Данное обновление заставляет Python использовать системную библиотеку Expat вместо ее внутренней копии; поэтому пользователи должны иметь установленную версию Expat, которая поставляется вместе с RHSA-2009:1625, или более позднюю версию, чтобы решить проблему, описанную в CVE-2009-3720.
Пользователям Python рекомендуется обновить программное обеспечение, чтобы избавиться от указанных проблем.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2011-0492.html
Ссылки
https://rhn.redhat.com/errata/RHSA-2011-0492.html
CVE (CVE-2009-3720): https://www.redhat.com/security/data/cve/CVE-2009-3720.html
CVE (CVE-2010-3493): https://www.redhat.com/security/data/cve/CVE-2010-3493.html
CVE (CVE-2011-1015): https://www.redhat.com/security/data/cve/CVE-2011-1015.html
CVE (CVE-2011-1521): https://www.redhat.com/security/data/cve/CVE-2011-1521.html
BUGZILLA (531697): http://bugzilla.redhat.com/531697
BUGZILLA (632200): http://bugzilla.redhat.com/632200
BUGZILLA (680094): http://bugzilla.redhat.com/680094
BUGZILLA (690560): http://bugzilla.redhat.com/690560

Источник: CVE
Наименование: CVE-2009-3720
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3720

Источник: CVE
Наименование: CVE-2010-3493
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3493

Источник: CVE
Наименование: CVE-2011-1015
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1015

Источник: CVE
Наименование: CVE-2011-1521
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1521