07.10.2006 12:47
Die Skriptsprache Python hat ein Sicherheitsproblem bei der Behandlung von Unicode-Strings. Übergibt man der Funktion repr() ungeprüfte, UTF-32/UCS-4-kodierte Zeichenketten, so ist es laut Fehlerbericht von Ubuntu möglich, eigenen Code einzuschleusen und mit den Rechten der Python-Anwendung auszuführen. Ein Angreifer könnte so unter Umständen einen Webserver unter seine Kontrolle bringen, der Python-Skripte nutzt. In den meisten Fällen dürfte die Python-Anwendung jedoch nur abstürzen.
Betroffen sind die Versionen 2.3 und 2.4. Ein offizieller Patch steht noch nicht zur Verfügung, Abhilfe bringt der Wechsel auf Python 2.5. Ubuntu hat bereits fehlerbereinigte Pakete für die Versionen 2.3 und 2.4 herausgegeben. Die anderen Linux-Distributoren dürften demnächst folgen.
Siehe dazu auch:
(jo)
English version: A bug in Python permits execution of arbitrary code
Themen-Forum Schwachstellen
Version zum Drucken | Per E-Mail versenden | Newsletter abonnieren
Permalink: http://heise.de/-169238
