Eine Sicherheitslücke in Python hat zur Folge, dass ein entfernter Angreifer Denial-of-Service-Attacken gegen Python-Anwendungen durchführen kann. Das Problem findet sich in den Routinen zum verarbeiten von Zip-Dateien (“ZipExtFile”, “ZipFile”). Im einzelnen sind folgende Funktionen für die Attacke anfällig:
ZipExtFile.read ZipExtFile.read(n) ZipExtFile.readlines ZipFile.extract ZipFile.extractall
Ein Angreifer kann die Schwachstelle mit Hilfe einer speziell konstruierten Zip-Datei auslösen und damit die CPU komplett auslasten.
Der eigentliche Programmierfehler liegt in den Quelltextdateien “Lib/test/test_zipfile.py” und “Lib/zipfile.py”. Der Fehler wurde durch ein Patch und das Einführen der neuen Kontrollfunktion “test_truncated_zipfile” behoben.

