Problema de seguridad en librería XMLRPC de Pythonv

La librería estándar python “SimpleXMLRPCServer.py” contiene un grave problema de seguridad que permite que un atacante remoto acceda a datos y ejecute métodos arbitrarios en el servidor.

Python es un lenguaje de programación sencillo pero extremadamente potente y versátil, cuya popularidad crece día a día.

Las implementaciones no actualizadas de “SimpleXMLRPCServer.py”, librería estándar en las versiones recientes de Python, permiten que un atacante remoto acceda a las interioridades de los objetos registrados, sus módulos y, posiblemente, otros módulos.

La vulnerabilidad afecta exclusivamente a los servidores XMLRPC que utilicen el método “register_instance()” para registrar un objeto sin método “_dispatch()”. Los servidores XMLRPC que utilicen “register_function()” no están afectados.

Esta vulnerabilidad no afecta al servidor de aplicaciones ZOPE, ya que dispone de su propia implementación XMLRPC. Tampoco afecta a otros sistema RPC Python, como Pyro o las diversas implementaciones CORBA disponibles.

El equipo Python ha publicado la versión 2.3.5 de este intérprete, solucionando la vulnerabilidad en cuestión y unos cincuenta problemas menores adicionales.

La publicación de la versión 2.4.1 de Python es inminente también. Hispasec recomienda a todos los usuarios de Python que actualicen a dicha versión en cuanto sea oficial. Quien no pueda esperar, por exportar servicios XMLRPC a clientes potencialmente maliciosos, disponen de un parche público a tal efecto.

Los usuarios de Python 2.2, descatalogada, disponen también de un parche para su sistema.