Долгосрочная поддержка Debian / Информация о безопасности LTS / 2014 / Информация о безопасности -- DLA-25-2 python2.6

Рекомендация Debian по безопасности

DLA-25-2 python2.6 -- обновление безопасности LTS

Дата сообщения:

31.07.2014

Затронутые пакеты:

python2.6

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2011-1015, CVE-2011-1521, CVE-2011-4940, CVE-2011-4944, CVE-2012-0845, CVE-2012-1150, CVE-2013-4238, CVE-2014-1912.

Более подробная информация:

В обновлении DLA-25-1 для python2.6 была обнаружена регрессия, которая может приводить к тому, что приложения на языке Python прерываются в том случае, если они работают во время выполнения обновления, но ещё не импортировали модуль 'os', то же самое происходит и после выполнения обновления. Данное обновление исправляет этот сценарий обновления.

Ниже приводится изначальный текст рекомендации.

В python2.6 были обнаружены многочисленные уязвимости. Наиболее важны из них следующие:

• CVE-2013-4238

  Некорректная обработка NUL-байтов в сертификатах имён узлов может позволить выполнять подделку сервера с помощью специально сформированных сертификатов, подписанных доверенным авторитетом.

• CVE-2014-1912

  Переполнение буфера в socket.recvfrom_into, приводящее к аварийной остановке приложения и возможному выполнению кода.

В Debian 6 Squeeze эти проблемы были исправлены в пакете python2.6 версии 2.6.6-8+deb6u2