L'équipe de développement de Python a découvert un défaut dans son paquet principal. Le module de la bibliothèque SimpleXMLRPCServer pouvait permettre aux attaquants distants d'accéder au contenu de l'objet enregistré, ou à son module, ou même à d'autres modules. Le défaut touche uniquement les serveurs XML-RPC en Python qui utilisent la méthode register_instance() pour enregistrer un objet sans une méthode du type _dispatch(). Les serveurs utilisant uniquement register_function() ne sont pas touchés.
Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 2.2.1-4.7. Aucune autre version de Python présente dans Woody n'est touchée.
Pour les distributions de test (Sarge) et instable (Sid), le tableau suivant explique pour chaque version touchée quelle version contiendra la correction :
| testing | instable | |
|---|---|---|
| Python 2.2 | 2.2.3-14 | 2.2.3-14 |
| Python 2.3 | 2.3.4-20 | 2.3.4+2.3.5c1-2 |
| Python 2.4 | 2.4-5 | 2.4-5 |
Nous vous recommandons de mettre à jour vos paquets Python.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.