Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Python SimpleXMLRPCServer Library Module Vulnérabilité

22/01/2007 09H51
Référence Secunia : SA14128 
Date de publication : 2005-02-04

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Contournement de la Sécurité, Manipulation de données, Exposition de données sensibles, Accès au système
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Python 2.2.x
Python 2.3.x
Python 2.4.x

Référence CVE :
CVE-2005-0089


Description :
Graham Dumpleton a rapporté une vulnérabilité dans Python, qui pourrait être exploitée par des personnes malintentionnées pour passer outre certaines restrictions de sécurité.

La vulnérabilité est causée du fait d'une erreur dans le SimpleXMLRPCServer library module, où the internals of registered objects ou modules sont non proprement protégé. Cela pourrait être exploité pour divulguer et modify des informations sensibles et potentiellement exécuter des commandes arbitraires.

L'exploitation de ce problème est possible seulement si un serveur vulnérable XML-RPC registers an object via la méthode "register_instance()" sans un "_dispatch()" method.

La vulnérabilité a été rapportée dans toutes les versions de 2.2, 2.3 versions inférieures à 2.3.5, et en version 2.4.


Solutions :
Appliquer les correctifs.

La version 2.2:
http://www.python.org/security/PSF-2005-001/patch-2.2.txt

Versions 2.3 et 2.4:
http://www.python.org/security/PSF-2005-001/patch.txt

La vulnérabilité sera aussi corrigé en versions 2.3.5 et 2.4.1.


Vulnérabilité découverte par :

Graham Dumpleton

Référence :
http://www.python.org/security/PSF-2005-001/




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.