07.10.2006 12:47

Bug in Python lässt beliebigen Code ausführen

Die Skriptsprache Python hat ein Sicherheitsproblem bei der Behandlung von Unicode-Strings. Übergibt man der Funktion repr() ungeprüfte, UTF-32/UCS-4-kodierte Zeichenketten, so ist es laut Fehlerbericht von Ubuntu möglich, eigenen Code einzuschleusen und mit den Rechten der Python-Anwendung auszuführen. Ein Angreifer könnte so unter Umständen einen Webserver unter seine Kontrolle bringen, der Python-Skripte nutzt. In den meisten Fällen dürfte die Python-Anwendung jedoch nur abstürzen.

Betroffen sind die Versionen 2.3 und 2.4. Ein offizieller Patch steht noch nicht zur Verfügung, Abhilfe bringt der Wechsel auf Python 2.5. Ubuntu hat bereits fehlerbereinigte Pakete für die Versionen 2.3 und 2.4 herausgegeben. Die anderen Linux-Distributoren dürften demnächst folgen.

Siehe dazu auch: (jo)

buffer overrun in repr() for unicode strings, Fehlerbericht auf Sourceforge
python2.3, python2.4 vulnerabilities, Fehlerbericht von Ubuntu

Version zum Drucken | Per E-Mail versenden | Newsletter abonnieren

« Vorige | Nächste »

Kommentare lesen (169 Beiträge)

Themen-Forum Schwachstellen

English version: A bug in Python permits execution of arbitrary code

heise Security

Spionage auf Blackberry-Geräten
Der Sicherheitsdienstleister SMobile hat untersucht, wie effektiv die Sicherheitsfunktionen arbeiten und wie aussagekräftig Warnungen sind, damit ein Anwender eine richtige Entscheidung treffen kann. mehr…

Kaputt gekürzt
Beim Klick auf die Kurz-URLs von Bit.ly & Co weiß man nicht wo man landet. Die nächste Generation geht sogar noch einen Schritt weiter. mehr…

SSL für lau
Der israelische Anbieter StartSSL bietet kostenlose SSL-Serverzertifikate an, die immerhin ein Jahr gültig sind. Der Artikel zeigt, wie man ein Zertifikat für seine Domain dort beantragt und im Server installiert. mehr…