Python 開発チームは、Python に言語仕様上の欠陥を発見しました。 SimpleXMLRPCServer ライブラリモジュールが、リモートの攻撃者に対し、 内部の登録されたオブジェクトやモジュール、 あるいはその他のモジュールへの意図しないアクセスを許可します。 この欠陥は、Python XML-RPC サーバがオブジェクトを登録する際に _dispatch() メソッドを使わずに register_instance() メソッドを利用している場合にのみ影響します。 register_function() メソッドだけを使っているサーバは影響を受けません。
安定版ディストリビューション (stable、コードネーム woody) では、この問題はバージョン 2.2.1-4.7 で修正されています。 woody に含まれている他のバージョンの Python は影響されません。
テスト版ディストリビューション (testing、コードネーム sarge) と不安定版ディストリビューション (unstable、コードネーム sid) については、 以下のマトリクスでどのバージョンが修正されたバージョンを含んでいるのかを示しています:
| テスト版 (testing) | 不安定版 (unstable) | |
|---|---|---|
| Python 2.2 | 2.2.3-14 | 2.2.3-14 |
| Python 2.3 | 2.3.4-20 | 2.3.4+2.3.5c1-2 |
| Python 2.4 | 2.4-5 | 2.4-5 |
Python パッケージのアップグレードをお勧めします。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。