CVE-2013-1752

Опубликовано: 25 сент. 2012

Источник: redhat

CVSS2: 4.3

Уязвимость чрезмерного потребления памяти в модулях стандартной библиотеки Python, реализующих сетевые протоколы, из-за отсутствия ограничений на размеры ответов сервера

Описание

Было обнаружено, что несколько модулей стандартной библиотеки Python, реализующих сетевые протоколы (например, httplib или smtplib), не ограничивают размеры ответов сервера. Вредоносный сервер может заставить клиента, использующего один из уязвимых модулей, потреблять чрезмерное количество памяти.

Заявление

Red Hat JBoss SOA Platform 5 находится в фазе Maintenance Support, где выпускаются только квалифицированные исправления для уязвимостей с уровнем важности Important и Critical. Red Hat JBoss SOA Platform 4.3 находится в фазе Extended Life Support, где выпускаются только исправления для уязвимостей с уровнем важности Critical. Данная проблема оценена как имеющая умеренное влияние на безопасность и в настоящее время не планируется к устранению в будущих обновлениях. Для получения дополнительной информации обратитесь к жизненному циклу Red Hat JBoss Middleware.

Затронутые версии ПО

Модули стандартной библиотеки Python:
- httplib
- smtplib
- Другие модули, реализующие сетевые протоколы

Тип уязвимости

Чрезмерное потребление ресурсов

Затронутые пакеты

Платформа	Пакет	Состояние
Red Hat Enterprise Linux 5	python	Will not fix
Red Hat Enterprise Linux 5	redhat-support-lib-python	Will not fix
Red Hat Enterprise Linux 6	jython	Will not fix
Red Hat Enterprise Linux 6	redhat-support-lib-python	Will not fix
Red Hat Enterprise Linux 7	redhat-support-lib-python	Will not fix
Red Hat JBoss Enterprise Application Platform 6	jython-eap6	Not affected
Red Hat JBoss SOA Platform 4.3	jython	Will not fix
Red Hat JBoss SOA Platform 5	jython	Will not fix
Red Hat OpenShift Enterprise 2	jython	Will not fix
Red Hat Satellite 5.4	jython	Will not fix

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

Дефект:

CWE-400

https://bugzilla.redhat.com/show_bug.cgi?id=1046174python: multiple unbound readline() DoS flaws in python stdlib

4.3 Medium

CVSS2

Связанные уязвимости

CVE-2013-1752

ubuntu

около 6 лет назад

** REJECT ** Various versions of Python do not properly restrict readline calls, which allows remote attackers to cause a denial of service (memory consumption) via a long string, related to (1) httplib - fixed in 2.7.4, 2.6.9, and 3.3.3; (2) ftplib - fixed in 2.7.6, 2.6.9, 3.3.3; (3) imaplib - not yet fixed in 2.7.x, fixed in 2.6.9, 3.3.3; (4) nntplib - fixed in 2.7.6, 2.6.9, 3.3.3; (5) poplib - not yet fixed in 2.7.x, fixed in 2.6.9, 3.3.3; and (6) smtplib - not yet fixed in 2.7.x, fixed in 2.6.9, not yet fixed in 3.3.x. NOTE: this was REJECTed because it is incompatible with CNT1 "Independently Fixable" in the CVE Counting Decisions.

CVE-2013-1752

nvd

около 6 лет назад

Rejected reason: Various versions of Python do not properly restrict readline calls, which allows remote attackers to cause a denial of service (memory consumption) via a long string, related to (1) httplib - fixed in 2.7.4, 2.6.9, and 3.3.3; (2) ftplib - fixed in 2.7.6, 2.6.9, 3.3.3; (3) imaplib - not yet fixed in 2.7.x, fixed in 2.6.9, 3.3.3; (4) nntplib - fixed in 2.7.6, 2.6.9, 3.3.3; (5) poplib - not yet fixed in 2.7.x, fixed in 2.6.9, 3.3.3; and (6) smtplib - not yet fixed in 2.7.x, fixed in 2.6.9, not yet fixed in 3.3.x. NOTE: this was REJECTed because it is incompatible with CNT1 "Independently Fixable" in the CVE Counting Decisions

SUSE-SU-2015:1344-1

suse-cvrf

почти 10 лет назад

Security update for python

ELSA-2015-1330

oracle-oval

почти 10 лет назад

ELSA-2015-1330: python security, bug fix, and enhancement update (MODERATE)

ELSA-2015-2101

oracle-oval

больше 9 лет назад

ELSA-2015-2101: python security, bug fix, and enhancement update (MODERATE)

4.3 Medium

CVSS2