Actualización de seguridad de “mod_python”
Las versiones recientes no actualizadas de “mod_python” contienen una vulnerabilidad que permite que un usuario local ejecute código arbitrario con los privilegios del demonio “Apache”.
“mod_python” es una librería Open Source para el servidor web Apache, que permite integrar código python, tanto para la ejecución de lógica de aplicación, como para la interceptación de los propios “handlers” o puntos de control internos de Apache.
La versión 3.2.7 de “mod_python” incluye un módulo nuevo, “FileSession”, que contiene una vulnerabilidad que permite a cualquier usuario local la ejecución de código arbitrario con los privilegios del proceso “Apache”.
Es de destacar que dicho módulo es nuevo en la versión 3.2.7, y que no está activado por defecto. Por lo tanto, si está utilizando una versión distinta a “mod_python” 3.2.7 o la versión 3.2.7 con la configuración por defecto, no será vulnerable.
En cualquier caso, Hispasec recomienda la actualización a la versión 3.2.8 de “mod_python”, publicada hace unos días.