漏洞起因
设计错误
危险等级
低
影响系统
Python Software Foundation Python 2.6.5
Python Software Foundation Python 2.6.2
Python Software Foundation Python 2.4.5
Python Software Foundation Python 2.4.4 -r14
Python Software Foundation Python 2.4.4
Python Software Foundation Python 2.4.3
+ Trustix Secure Linux 3.0.5
Python Software Foundation Python 2.4.2
Python Software Foundation Python 2.4.1
Python Software Foundation Python 2.4
Python Software Foundation Python 2.6
不受影响系统
危害
远程攻击者可以利用漏洞获得敏感信息或对应用程序进行拒绝服务攻击。
攻击所需条件
攻击者必须构建恶意请求,诱使用户处理。
漏洞信息
Python是一款面向对象、 直译式计算机程序设计语言。
Python urllib和urllib2扩展处理ftp://和file:// URL机制的处理器存在安全缺陷,远程攻击者可利用此缺陷通过特制的urllib开放URL请求,诱使用户访问,获得敏感信息或使Python WEB应用程序消耗大量CPU和内存,造成拒绝服务攻击。
Python urllib和urllib2模块用于获取WEB页面,也默认包含ftp://和file:// URL机制处理器。通过重定向到file:///etc/passwd可获得敏感信息,提交file:///dev/zero请求可导致拒绝服务攻击。
测试方法
厂商解决方案
目前没有详细解决方案提供:
http://www.python.org/
漏洞提供者
Guido van Rossum
0 条评论。