python-2.4.3-44.0.1.AXS3

エラータID: AXSA:2011-183:01

リリース日:

2011/05/24 Tuesday - 21:19

題名:

影響のあるチャネル:

Asianux Server 3 for x86_64

Asianux Server 3 for x86

Severity:

High

Description:

以下項目について対処しました。 
 
[Security Fix] 
- Expat の lib/xmltok_impl.c の updatePosition 関数には巧妙に細工された UTF-8 シークェンスを含む XML ドキュメントによって, 攻撃者がサービス拒否 (アプリケーションのクラッシュ) を引き起こす脆弱性があります。(CVE-2009-3720) 
 
- Python の smtpd モジュールには複数の競合状態が存在し, TCP 接続が確立したとたんに終了させることによって, リモートの攻撃者がサービス拒否 (デーモンの機能停止) を引き起こす脆弱性があります。(CVE-2010-3493) 
 
- Python の CGIHTTPServer モジュールの is_cgi メソッドには, URI の先頭にスラッシュ (/) のない HTTP GET リクエストによって, リモートの攻撃者にスクリプトのソースコードを読まれる脆弱性があります。(CVE-2011-1015) 
 
- 現時点では CVE-2011-1521 の情報が公開されておりません。 
CVEの情報が公開され次第情報をアップデートいたします。 
 
一部CVEの翻訳文はJVNからの引用になります。 
http://jvndb.jvn.jp/

解決策:

パッケージをアップデートしてください。

CVE:

CVE-2009-3720
The updatePosition function in lib/xmltok_impl.c in libexpat in Expat 2.0.1, as used in Python, PyXML, w3c-libwww, and other software, allows context-dependent attackers to cause a denial of service (application crash) via an XML document with crafted UTF-8 sequences that trigger a buffer over-read, a different vulnerability than CVE-2009-2625.

CVE-2010-3493
Multiple race conditions in smtpd.py in the smtpd module in Python 2.6, 2.7, 3.1, and 3.2 alpha allow remote attackers to cause a denial of service (daemon outage) by establishing and then immediately closing a TCP connection, leading to the accept function having an unexpected return value of None, an unexpected value of None for the address, or an ECONNABORTED, EAGAIN, or EWOULDBLOCK error, or the getpeername function having an ENOTCONN error, a related issue to CVE-2010-3492.

CVE-2011-1015
The is_cgi method in CGIHTTPServer.py in the CGIHTTPServer module in Python 2.5, 2.6, and 3.0 allows remote attackers to read script source code via an HTTP GET request that lacks a / (slash) character at the beginning of the URI.

CVE-2011-1521
The urllib and urllib2 modules in Python 2.x before 2.7.2 and 3.x before 3.2.1 process Location headers that specify redirection to file: URLs, which makes it easier for remote attackers to obtain sensitive information or cause a denial of service (resource consumption) via a crafted URL, as demonstrated by the file:///etc/passwd and file:///dev/zero URLs.

追加情報:

N/A

ダウンロード:

SRPMS

python-2.4.3-44.0.1.AXS3.src.rpm
MD5: 5c9a6e9e8430c06d62cfdbd813495aaf
SHA-256: 9937668a1a8e5b7d3958c849d0b82abf36d4547af71c17395869b171f354505d
Size: 8.03 MB

Asianux Server 3 for x86

python-2.4.3-44.0.1.AXS3.i386.rpm
MD5: aa69c39e6f027512aba22bf2ca45c67d
SHA-256: fa3b5d6d2a6f9008aef8549ac89b5f6656ba13bd6c914080832461be8f52c424
Size: 57.78 kB
python-devel-2.4.3-44.0.1.AXS3.i386.rpm
MD5: 41d54fad4e67c1f17b47103210a80009
SHA-256: 818d61bada354927872b5588e94282cbca2b9e391c3aa150a9d1cccf4ff8f52a
Size: 2.99 MB
python-libs-2.4.3-44.0.1.AXS3.i386.rpm
MD5: 063fb70a2bee50639fbb191a4dddc55a
SHA-256: 2cec7e026e2bf3c69e6f4f1c44612b6e8d2c3d0d0671a2f123d6d9831f2938be
Size: 5.88 MB
tkinter-2.4.3-44.0.1.AXS3.i386.rpm
MD5: a033412e05b66c87606e3b75778f5d41
SHA-256: 6de9374fe85073565d60ecd4443ed9f3b00aa5b17e90066021a4e4a9e0ade237
Size: 279.96 kB

Asianux Server 3 for x86_64

python-2.4.3-44.0.1.AXS3.x86_64.rpm
MD5: a26a5e0c04f403121eae6b6724861ead
SHA-256: dff8abd7c0b941158e2f0c42968060aefd7d83dcb2ccb894a2dfacb71e6daf12
Size: 57.85 kB
python-devel-2.4.3-44.0.1.AXS3.x86_64.rpm
MD5: 1beb5f086284dc1844baf0c836344067
SHA-256: 15ff61f07edd7ae31ca4769d09cdd78c341fb33fd376e0ce680d500d589b78e5
Size: 3.01 MB
python-libs-2.4.3-44.0.1.AXS3.x86_64.rpm
MD5: d1235afa2c28626b7be8682ac33667bb
SHA-256: 7bd73fb6b055d42be793bf59cf6f347e479e6f2e86dd16ffd6aef9bf8fd001c2
Size: 5.94 MB
python-tools-2.4.3-44.0.1.AXS3.x86_64.rpm
MD5: ef39a6c12bf29aaa81b8ef59c7ec1694
SHA-256: 4dfcecf5510e1b49b7dd6fd84f5d44edf8feeee145fc1fb3094ec75ba0b64a4a
Size: 968.58 kB
tkinter-2.4.3-44.0.1.AXS3.x86_64.rpm
MD5: 10f7196bbb608410034af8685036a04f
SHA-256: 63d6b0a75080bafb2525061f21fabdc0cde6b3809841ec42d822e2a4964b6305
Size: 281.38 kB

Main menu

You are here

python-2.4.3-44.0.1.AXS3