Bug in Python lässt beliebigen Code ausführen
Unicode-Strings können Python 2.3 und 2.4 aus der Bahn werfen.
Die Skriptsprache Python hat ein Sicherheitsproblem bei der Behandlung von Unicode-Strings. Übergibt man der Funktion repr() ungeprüfte, UTF-32/UCS-4-kodierte Zeichenketten, so ist es laut Fehlerbericht von Ubuntu möglich, eigenen Code einzuschleusen und mit den Rechten der Python-Anwendung auszuführen. Ein Angreifer könnte so unter Umständen einen Webserver unter seine Kontrolle bringen, der Python-Skripte nutzt. In den meisten Fällen dürfte die Python-Anwendung jedoch nur abstürzen.
Betroffen sind die Versionen 2.3 und 2.4. Ein offizieller Patch steht noch nicht zur Verfügung, Abhilfe bringt der Wechsel auf Python 2.5. Ubuntu hat bereits fehlerbereinigte Pakete für die Versionen 2.3 und 2.4 herausgegeben. Die anderen Linux-Distributoren dürften demnächst folgen.
Siehe dazu auch: (jo)
- buffer overrun in repr() for unicode strings, Fehlerbericht auf Sourceforge
- python2.3, python2.4 vulnerabilities, Fehlerbericht von Ubuntu
