Mehrere Schwachstellen in Skriptsprache Python

In der Skripte-Sprache Python stecken mehrere Schwachstellen, die es Angreifern ermöglichen sollen, eine Anwendung zum Absturz zu bringen oder Code einzuschleusen und auszuführen. Die Tragweite der Schwachstellen hängt von der jeweiligen konkreten Implementierung ab. So dürfte eine in Python geschriebene, Anwenderparameter verarbeitende Web-Anwendung einem höheren Risiko ausgesetzt sein, als ein vom lokalen Anwender gestartetes Skript.

Laut einem vom Linux-Distributor Gentoo in seiner Fehlerdatenbank veröffentlichten Bericht des Apple-Product-Security-Team beruhen die Schwachstellen auf zahlreichen Integer Overflows in den Python-Core-Modulen wie stringobject, unicodeobject, bufferobject, longobject, tupleobject, stropmodule, gcmodule und mmapmodule. Ein Integer Overflow im hashlib-Modul kann zudem zu unzuverlässigen Hash-Ergebnissen führen. Darüber hinaus finden sich Fehler in der PyOS_vsnprintf()-Funktion.

Betroffen sind Python 2.4.x und Python 2.5.x. Die Fehler sollen bereits im Subversion-Repository behoben sein. Interessanterweise sollen auch die Patches vom Apple-Product-Security-Team stammen. Die Distributoren dürften in Kürze aktualisierte Pakete herausgeben.

Siehe dazu auch:

• dev-lang/python 2.4.4-r14 integer overflows, Eintrag in Fehlerdatenbank von Gentoo
• dev-lang/python Multiple vulnerabilities, Eintrag in Fehlerdatenbank von Gentoo

(dab/c't)