Debian Long Term Support / LTS Security Information / 2014 / セキュリティ情報 -- DLA-25-2 python2.6

Debian セキュリティ勧告

DLA-25-2 python2.6 -- LTS セキュリティ更新

報告日時:

2014-07-31

影響を受けるパッケージ:

python2.6

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2011-1015, CVE-2011-1521, CVE-2011-4940, CVE-2011-4944, CVE-2012-0845, CVE-2012-1150, CVE-2013-4238, CVE-2014-1912.

詳細:

DLA-25-1 での python2.6 の更新にリグレッションが確認されています。 アップグレード時にはosモジュールをインポートしていなかった python アプリケーションがアップグレード後にインポートするようになった場合に、 異常終了を引き起こす可能性があります。この更新ではその問題を修正します。

参考までに前の勧告を再掲します。

python2.6 に複数の脆弱性が発見されました:

• CVE-2013-4238

  証明書ホスト名中にある NUL バイトの誤った処理のため、信頼済み認証局により署名された、 特別に細工した証明書経由で、サーバの偽装を許す可能性があります。

• CVE-2014-1912

  socket.recvfrom_into にバッファオーバーフローがあり、 アプリケーションのクラッシュや潜在的にはコードの実行につながります。

Debian 6Squeezeでは、この問題は python2.6 バージョン 2.6.6-8+deb6u2 で修正されています。