发布日期：2004-03-10
更新日期：2004-03-15

受影响系统：

Python Software Foundation Python 2.2
Python Software Foundation Python 2.2.1
    - Debian Linux 3.0
    - Mandrake Linux Corporate Server 2.1
    - Mandrake Linux 9.0

不受影响系统：

Python Software Foundation Python 2.2.2

描述：

---

BUGTRAQ  ID: 9836
CVE(CAN) ID: CVE-2004-0150

Python是一种开放源代码的强大功能的脚本编程语言。

Python包含的'getaddrinfo'缺少充分边界缓冲区检查，远程攻击者可以利用这个漏洞以执行用户进程权限在系统上执行任意指令。

Python包含的'getaddrinfo'函数允许远程攻击者通过DNS提供IPv6地址，由于对提供的地址长度缺少充分边界检查，因此超长IPv6地址可发生缓冲区溢出，精心构建提交数据可能以执行用户进程权限在系统上执行任意指令。目前没有详细漏洞细节提供。

<*来源：Sebastian Schmidt
  
  链接：http://www.debian.org/security/2004/dsa-458
*>

建议：

---

厂商补丁：

Debian
------
http://www.debian.org/security/2004/dsa-458

浏览次数：3106
严重程度：0（网友投票）