Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/08/2013
S’ha informat d’un error de seguretat en Python, que podria ser aprofitat per atacants maliciosos per a realitzar atacs de spoofing (suplantació).
El problema de seguretat és causat pel fet que el mòdul SSL de Python no maneja correctament els bytes NULL dins dels noms "subjectAltNames" en el certificat del servidor SSL. Açò podria ser aprofitat per a suplantar el servidor a través d’un atac Manin-the-Middle i, per tant, revelar informació potencialment sensible. L’error de seguretat està reportat en les versions 3.4, 3.3, 3.2, 2.7 i 2.6.
Sistemes Afectats:
Python 2.6.x
Python 2.7.x
Python 3.x
CVE-2013-4238
Solució:Encara no hi ha una solució oficial
Notes:Es reconeix el descobriment a Ryan Sleevi, del Google Chrome Security Team.
http://bugs.python.org/issue18709