elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Programación
| |-+  Scripting
| | |-+  Problema de seguridad en librería XMLRPC de Python
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Problema de seguridad en librería XMLRPC de Python  (Leído 2,336 veces)
Aberroncho
Colaborador
***
Desconectado Desconectado

Mensajes: 1.738


Daría todo lo que sé por la mitad de lo que ignoro


Ver Perfil
Problema de seguridad en librería XMLRPC de Python
« en: 26 Febrero 2005, 05:49 am »


La librería estándar python "SimpleXMLRPCServer.py" contiene un grave problema de seguridad que permite que un atacante remoto acceda a datos y ejecute métodos arbitrarios en el servidor.

Python es un lenguaje de programación sencillo pero extremadamente potente y versátil, cuya popularidad crece día a día.

Las implementaciones no actualizadas de  SimpleXMLRPCServer.py", librería estándar en las versiones recientes de Python, permiten que un atacante remoto acceda a las interioridades de los objetos registrados, sus módulos y, posiblemente, otros módulos.

La vulnerabilidad afecta exclusivamente a los servidores XMLRPC que utilicen el método "register_instance()" para registrar un objeto sin método "_dispatch()". Los servidores XMLRPC que utilicen "register_function()" no están afectados.

Esta vulnerabilidad no afecta al servidor de aplicaciones ZOPE, ya que dispone de su propia implementación XMLRPC. Tampoco afecta a otros sistema RPC Python, como Pyro o las diversas implementaciones CORBA disponibles.

El equipo Python ha publicado la versión 2.3.5 de este intérprete, solucionando la vulnerabilidad en cuestión y unos cincuenta problemas menores adicionales.

La publicación de la versión 2.4.1 de Python es inminente también. Hispasec recomienda a todos los usuarios de Python que actualicen a dicha versión en cuanto sea oficial. Quien no pueda esperar, por exportar servicios XMLRPC a clientes potencialmente maliciosos, disponen de un parche público a tal efecto.

Los usuarios de Python 2.2, descatalogada, disponen también de un parche para su sistema.


PSF-2005-001 - SimpleXMLRPCServer.py allows unrestricted traversal
http://www.python.org/security/PSF-2005-001/




En línea

"La ignorancia es la noche de la mente, pero una noche sin Luna ni estrellas."
(Confucio)
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Problema Librería SFML
Programación C/C++
overxfl0w13 2 2,276 Último mensaje 28 Junio 2012, 15:02 pm
por anonimo12121
Instalar libreria python. (no lo consigo)
Software
rubenkanikace 4 856 Último mensaje 26 Julio 2012, 14:48 pm
por rubenkanikace
[AYUDA][PYTHON] como se usa la libreria WAVE en python?
Scripting
Noxware 2 2,386 Último mensaje 5 Mayo 2014, 09:03 am
por Intrus0
[Python] Problema Message box con la librería ctypes
Scripting
123456 5 2,109 Último mensaje 22 Junio 2015, 13:07 pm
por tincopasan
problema con la libreria de nmap en python v 3.7.4 « 1 2 »
Scripting
dash166 10 1,594 Último mensaje 16 Noviembre 2019, 03:33 am
por tincopasan
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines