Csomag: python
Sebezhetőség: nembiztonságos átmeneti fájlok
Probléma típus: helyi
Debian-specifikus: nem
BugTraq ID: 5581
A hibajavítás amit a DSA 159-1-ben közzétettünk, sajnos azt akozza, hogy a python időnként nem megfelelően viselkedik amikor nem futtatható fájlok már előrébb léteztek a path-ban és egy futtatható fájl pedig ugyanazon a néven létezik a path-ban hátrébb. Zack Weinberg javította ezt a Python forrásban. Hivatkozás gyanánt itt az eredeti szöveg:
Zack Weinberg felfedezett egy biztonsági hibát a pythonban, ami az átmeneti fájlok nem biztonságos kezelésével kapcsolatos az os._execvpe az os.py-ből. Ez a modul megjósolható neveket használ, amit tetszőleges kód futtatására ki lehet használni.
A problémát a Python több verziójában is javítottuk:
Az aktuális stabil terjesztésben (woody) a javított verzió az 1.5.2-23.2 a Python 1.5 esetén, valamint a 2.1.3-3.2 a Python 2.1 esetén, és a 2.2.1-4.2 a Python 2.2 esetében.
A régi stabil terjesztésben (potato) a javított verzió az 1.5.2-10potato13 a Python 1.5 esetében.
Az instabil terjesztésben (sid) a problémát az 1.5.2-25 javítja a Python 1.5 esetén, a 2.1.3-9 a Python 2.1 esetén és 2.2.1-11 a Python 2.2 esetén.
A Python 2.3 nem érintett az eredeti problémában.
Javasoljuk frissítsd a python csomagjaid.
Martin Schultze levele a debian-security-announce listán.
A frissítésrõl szóló FAQ-nk.