Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:N/A:P)
Производитель ПО
Наименование ПО
python
(any)
python-devel
(any)
python-docs
(any)
python-libs
(any)
python-test
(any)
python-tools
(any)
tkinter
(any)
Описание
Python - это объектно-ориентированный язык программирования.
Ошибка обнаружена в библиотеках Python urllib и urllib2. Эти библиотеки не различают целевые URL при обработке автоматических перенаправлений. Приложения Python, использующие эти модули, переходят по новому URL, который может включать URL-тип "file://". Эта уязвимость позволяет удаленного серверу заставить локальное приложение Python прочитать локальный файл вместо удаленного, т.е. получить доступ к локальным файлам. (CVE-2011-1521)
Условия race condition обнаружены в SMTPD-модуле Python при обработке новых подключений. Удаленный пользователь может использовать данную уязвимость, чтобы вызвать аварийное завершение работы модуля smtpd. (CVE-2010-3493)
Ошибка, связанная с разглашением данных, обнаружена в модуле Python CGIHTTPServer при обработке некоторых запросов HTTP GET. Злоумышленник, действующий удаленно, может использовать специально сформированный запрос, чтобы получить доступ к коду CGI-сценария. (CVE-2011-1015)
Данное исправление обновляет Python до версии 2.6.6, а также включает исправления ряда ошибок.
Пользователям Python рекомендуется обновить свое программное обеспечение.
Ошибка обнаружена в библиотеках Python urllib и urllib2. Эти библиотеки не различают целевые URL при обработке автоматических перенаправлений. Приложения Python, использующие эти модули, переходят по новому URL, который может включать URL-тип "file://". Эта уязвимость позволяет удаленного серверу заставить локальное приложение Python прочитать локальный файл вместо удаленного, т.е. получить доступ к локальным файлам. (CVE-2011-1521)
Условия race condition обнаружены в SMTPD-модуле Python при обработке новых подключений. Удаленный пользователь может использовать данную уязвимость, чтобы вызвать аварийное завершение работы модуля smtpd. (CVE-2010-3493)
Ошибка, связанная с разглашением данных, обнаружена в модуле Python CGIHTTPServer при обработке некоторых запросов HTTP GET. Злоумышленник, действующий удаленно, может использовать специально сформированный запрос, чтобы получить доступ к коду CGI-сценария. (CVE-2011-1015)
Данное исправление обновляет Python до версии 2.6.6, а также включает исправления ряда ошибок.
Пользователям Python рекомендуется обновить свое программное обеспечение.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2011-0554.html
https://rhn.redhat.com/errata/RHSA-2011-0554.html
Ссылки
CVE (CVE-2010-3493): https://www.redhat.com/security/data/cve/CVE-2010-3493.html
CVE (CVE-2011-1015): https://www.redhat.com/security/data/cve/CVE-2011-1015.html
CVE (CVE-2011-1521): https://www.redhat.com/security/data/cve/CVE-2011-1521.html
BUGZILLA (603073): http://bugzilla.redhat.com/603073
BUGZILLA (614680): http://bugzilla.redhat.com/614680
BUGZILLA (625393): http://bugzilla.redhat.com/625393
BUGZILLA (625395): http://bugzilla.redhat.com/625395
BUGZILLA (626756): http://bugzilla.redhat.com/626756
BUGZILLA (627301): http://bugzilla.redhat.com/627301
BUGZILLA (632200): http://bugzilla.redhat.com/632200
BUGZILLA (634944): http://bugzilla.redhat.com/634944
BUGZILLA (639392): http://bugzilla.redhat.com/639392
BUGZILLA (649274): http://bugzilla.redhat.com/649274
BUGZILLA (650588): http://bugzilla.redhat.com/650588
BUGZILLA (669847): http://bugzilla.redhat.com/669847
BUGZILLA (680094): http://bugzilla.redhat.com/680094
BUGZILLA (684991): http://bugzilla.redhat.com/684991
BUGZILLA (690315): http://bugzilla.redhat.com/690315
BUGZILLA (690560): http://bugzilla.redhat.com/690560
Источник: CVE
Наименование: CVE-2010-3493
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3493
Источник: CVE
Наименование: CVE-2011-1015
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1015
Источник: CVE
Наименование: CVE-2011-1521
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1521
CVE (CVE-2011-1015): https://www.redhat.com/security/data/cve/CVE-2011-1015.html
CVE (CVE-2011-1521): https://www.redhat.com/security/data/cve/CVE-2011-1521.html
BUGZILLA (603073): http://bugzilla.redhat.com/603073
BUGZILLA (614680): http://bugzilla.redhat.com/614680
BUGZILLA (625393): http://bugzilla.redhat.com/625393
BUGZILLA (625395): http://bugzilla.redhat.com/625395
BUGZILLA (626756): http://bugzilla.redhat.com/626756
BUGZILLA (627301): http://bugzilla.redhat.com/627301
BUGZILLA (632200): http://bugzilla.redhat.com/632200
BUGZILLA (634944): http://bugzilla.redhat.com/634944
BUGZILLA (639392): http://bugzilla.redhat.com/639392
BUGZILLA (649274): http://bugzilla.redhat.com/649274
BUGZILLA (650588): http://bugzilla.redhat.com/650588
BUGZILLA (669847): http://bugzilla.redhat.com/669847
BUGZILLA (680094): http://bugzilla.redhat.com/680094
BUGZILLA (684991): http://bugzilla.redhat.com/684991
BUGZILLA (690315): http://bugzilla.redhat.com/690315
BUGZILLA (690560): http://bugzilla.redhat.com/690560
Источник: CVE
Наименование: CVE-2010-3493
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3493
Источник: CVE
Наименование: CVE-2011-1015
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1015
Источник: CVE
Наименование: CVE-2011-1521
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1521