Python publica la versión 2.5.6 que soluciona cuatro fallos de seguridad en distintos módulos inicialmente corregidos en la versión 2.5.6-rc1.
Python es un lenguaje de programación interpretado y multiparadigma (orientación a objetos, imperativo y funcional). Se distribuye bajo una licencia de código abierto propia, denominada Python Software Foundation License.
El primero de los fallos permite realizar un ataque XSS sobre el módulo ‘SimpleHTTPServer’. El error se ha solucionado añadiendo el parámetro charset a las cabeceras Content-type. Algunos motores web, interpretaban que el método de codificación era UTF-7 que no era filtrado correctamente por «cgi.encode()» lo que permitía la inyección de JavScript.
El siguiente error solucionado se encuentra en los módulos ‘urllib’ y ‘urllib2’. Este fallo identificado como CVE-2011-1521 se produce al no validar correctamente el lugar al que redirige una web. Un atacante
podría causar una denegación de servicio o acceder a información sensible a través de una redirección hacia ‘file://‘.
Los dos últimos fallos se encuentra en el módulo ‘audioop’. Al primero se le ha asignado el identificador CVE-2010-1634; es explotable por múltiples vectores, al no validar el tamaño correctamente. Por último el identificado como CVE-2010-2089, y se debe a filtrar inadecuadamente la longitud de las cadenas pasadas por parámetros. Ambos causan una denegación de servicio.
Más información:
Python Releases News:
http://www.python.org/download/releases/2.5.6/NEWS.txt
Bug XSS SimpleHTTPServer:
http://bugs.python.org/issue11442
Patch XSS SimpleHTTPServer:
http://hg.python.org/cpython/rev/e9724d7abbc2
Bug CVE-2011-1521:
http://bugs.python.org/issue11662
Patch CVE-2011-1521:
http://hg.python.org/sandbox/guido/rev/9eeda8e3a13f
Bug CVE-2010-1634:
http://bugs.python.org/issue8674
Patch CVE-2010-1634:
http://svn.python.org/view?rev=81045&view=rev
http://svn.python.org/view?rev=81079&view=rev
Bug CVE-2010-2089:
http://bugs.python.org/issue7673
Patch CVE-2010-2089:
http://hg.python.org/cpython/rev/8bb93288db6d/
¿Te resultó interesante? Compártelo ...
