2月3日付で PSF(Python Software Foundation) から SimpleXMLRPCServer モジュールの Security Advisory が報告されました。

XML-RPC メソッドの公開に register_function() ではなく register_instance() を使ってオブジェクトを登録している場合に問題が発生します。たとえば登録したオブジェクトがモジュールであり、そのモジュールが os モジュールを import している場合 XML-RPC を通じて os.system() を実行されてしまう危険性もあります。

該当する Python のバージョンは 2.2(すべての 2.2 リリース)、2.3(2.3.0 から 2.3.5 release candidate 1 まで)および 2.4.0 です。各バージョン用パッチ は python.org にて提供されています。上記モジュールとメソッドを使用している方はすぐにパッチを当ててください。

なお近くリリース予定の 2.3.5 最終バージョンと 2.4.1 にはパッチ済みのモジュールが同梱されます。

<  |  >