Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/08/2013
Problema de seguridad en el módulo SSL de Python
Se ha informado de un fallo de seguridad en Python, que podría ser aprovechado por atacantes maliciosos para realizar ataques de spoofing (suplantación).Se ha informado de un fallo de seguridad en Python, que podría ser aprovechado por atacantes maliciosos para realizar ataques de spoofing (suplantación).
El problema de seguridad se debe a que el módulo SSL de Python no maneja correctamente los bytes NULL dentro de los nombres "subjectAltNames" en el certificado del servidor SSL. Esto podría ser aprovechado para suplantar el servidor a través de un ataque Man-in-the-Middle y, por tanto, revelar información potencialmente sensible.
El fallo de seguridad está reportado en las versiones 3.4, 3.3, 3.2, 2.7 y 2.6.
Sistemas Afectados:Python 2.6.x
Python 2.7.x
Python 3.x
CVE-2013-4238
Solución:Todavía no hay una solución oficial
Notas:Se reconoce el descubrimiento a Ryan Sleevi, del Google Chrome Security Team.
http://bugs.python.org/issue18709