CERTA-2004-AVI-076

Vulnerability from certfr_avis - Published: - Updated:

None

Description

Python est un langage de programmation interprété, interactif et orienté objet. Dans l'environnement Unix, il est utilisé pour programmer de nombreuses applications.

Les versions 2.2 à 2.2.2 de Python, lorsqu'elles sont configurées pour ne pas prendre en compte le protocole IPv6, présentent une faille de sécurité dans la fonction getaddrinfo.

Un utilisateur distant mal intentionné peut exploiter cette faille pour confectionner une réponse de DNS malicieuse qui, lorsqu'elle est interprétée par une des versions vulnérables de Python, peut mener à l'exécution de code arbitraire.

Les versions de Python antérieures à 2.2 et à partir de 2.2.3 ne sont pas vulnérables à cette faille de sécurité.

Solution

Appliquer le correctif de sécurité. La distribution Debian a fourni un correctif de sécurité : Python 2.2 dans la version 2.2.1-4.3. La distribution Mandrake a fourni un correctif de sécurité : Python 2.2 dans la version 2.2.1-14.4.

Si l'éditeur de votre système d'exploitation n'a pas encore fourni un correctif « clef en main » pour une version vulnérable de Python 2.2, il est possible de compiler une version de Python supérieure ou égale à 2.2.3 à partir des sources.

Les versions de 2.2 à 2.2.2 incluse de Python configurées sans la prise en compte du protocole IPv6.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eLes versions de 2.2 \u00e0 2.2.2 incluse de  \u003cTT\u003ePython\u003c/TT\u003e configur\u00e9es sans la prise en compte du protocole  IPv6.\u003c/p\u003e",
  "content": "## Description\n\nPython est un langage de programmation interpr\u00e9t\u00e9, interactif et orient\u00e9\nobjet. Dans l\u0027environnement Unix, il est utilis\u00e9 pour programmer de\nnombreuses applications.\n\nLes versions 2.2 \u00e0 2.2.2 de Python, lorsqu\u0027elles sont configur\u00e9es pour\nne pas prendre en compte le protocole IPv6, pr\u00e9sentent une faille de\ns\u00e9curit\u00e9 dans la fonction getaddrinfo.\n\nUn utilisateur distant mal intentionn\u00e9 peut exploiter cette faille pour\nconfectionner une r\u00e9ponse de DNS malicieuse qui, lorsqu\u0027elle est\ninterpr\u00e9t\u00e9e par une des versions vuln\u00e9rables de Python, peut mener \u00e0\nl\u0027ex\u00e9cution de code arbitraire.\n\nLes versions de Python ant\u00e9rieures \u00e0 2.2 et \u00e0 partir de 2.2.3 ne sont\npas vuln\u00e9rables \u00e0 cette faille de s\u00e9curit\u00e9.\n\n## Solution\n\nAppliquer le correctif de s\u00e9curit\u00e9. La distribution Debian a fourni un\ncorrectif de s\u00e9curit\u00e9 : Python 2.2 dans la version 2.2.1-4.3. La\ndistribution Mandrake a fourni un correctif de s\u00e9curit\u00e9 : Python 2.2\ndans la version 2.2.1-14.4.\n\nSi l\u0027\u00e9diteur de votre syst\u00e8me d\u0027exploitation n\u0027a pas encore fourni un\ncorrectif \u00ab clef en main \u00bb pour une version vuln\u00e9rable de Python 2.2, il\nest possible de compiler une version de Python sup\u00e9rieure ou \u00e9gale \u00e0\n2.2.3 \u00e0 partir des sources.\n",
  "cves": [],
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Mandrake MDKSA-2004:019 du 09 mars    2004 :",
      "url": "http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:019"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200409-03 du 02 septembre    2004 :",
      "url": "http://www.gentoo.org/security/en/glsa/glsa-200409-03.xml"
    },
    {
      "title": "Site Internet officiel du projet Python (t\u00e9l\u00e9chargement) :      http://www.python.org/download",
      "url": "http://www.python.org/download/"
    },
    {
      "title": "Mise \u00e0 jour de s\u00e9curit\u00e9 du paquetage NetBSD python22 :",
      "url": "ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/lang/python22/README.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Debian DSA-458 du 09 mars 2004 :",
      "url": "http://www.debian.org/security/2004/dsa-458"
    }
  ],
  "reference": "CERTA-2004-AVI-076",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2004-03-10T00:00:00.000000"
    },
    {
      "description": "ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 Gentoo et NetBSD.",
      "revision_date": "2004-09-03T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    }
  ],
  "summary": null,
  "title": "Python 2.2 : D\u00e9bordement de variable dans la gestion des r\u00e9ponses du DNS",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "CVE CAN-2004-150",
      "url": null
    },
    {
      "published_at": null,
      "title": "Avis Mandrake : MDKSA-2004:019",
      "url": null
    },
    {
      "published_at": null,
      "title": "Debian Security Advisory DSA 458-1",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.