Security Lab

Удаленное выполнение произвольного кода в модуле библиотеки SimpleXMLRPCServer в Python

Дата публикации:05.02.2005
Дата изменения:17.10.2006
Всего просмотров:1985
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
Неавторизованное изменение данных
Обход ограничений безопасности
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Python 2.2.x
Python 2.3.x
Python 2.4.x
Уязвимые версии: Python 2.2 все версии, 2.3 версии до 2.3.5, 2.4

Описание:
Уязвимость в Python позволяет удаленному пользователю получить доступ к внутренним данным и выполнить произвольный код на уязвимой системе.

Python XML-RPC сервера, которые используют метод register_instance() для регистрации объектов без метода a _dispatch() уязвимы. Удаленный пользователь может просмотреть или изменить глобальные переменные модулей и получить доступ в некоторых случаях для выполнения системных команд.

URL производителя: http://www.python.org

Решение: Установите обновления
http://python.org/security/PSF-2005-001/patch-2.2.txt (Python 2.2)

http://python.org/security/PSF-2005-001/patch.txt (Python 2.3, 2.4)

Ссылки: Python SimpleXMLRPCServer May Let Remote Users Access Internal Data or Execute Arbitrary Code