<div><span style="color: rgb(160, 160, 168); ">On Wednesday, February 20, 2013 at 6:22 PM, Antoine Pitrou wrote:</span></div>
                <blockquote type="cite" style="border-left-style:solid;border-width:1px;margin-left:0px;padding-left:10px;">
                    <span><div><div><div>On Wed, 20 Feb 2013 18:21:22 -0500</div><div>Donald Stufft <<a href="mailto:donald.stufft@gmail.com">donald.stufft@gmail.com</a>> wrote:</div><blockquote type="cite"><div><div>On Wednesday, February 20, 2013 at 6:08 PM, Antoine Pitrou wrote:</div><blockquote type="cite"><div><blockquote type="cite"><div><div>It's not a distributed DoS issue, it's a severe DoS vulnerabilities. A</div><div>single 1 kB XML document can kill virtually any machine, even servers</div><div>with more than hundred GB RAM.</div></div></blockquote><div><br></div><div>Assuming an attacker can inject arbitrary XML. Not every XML document</div><div>is loaded from the Internet.</div></div></blockquote><div><br></div><div>Even documents not loaded from the internet can be at risk. Often times</div><div>security breaches are the result of a chain of actions. You can say "I'm</div><div>not loading this XML from the internet, so therefore I am safe" but then</div><div>you have another flaw (for example) where you unpack a zip file</div><div>without verifying there are not absolute paths and suddenly your xml file has</div><div>been replaces with a malicious one.</div></div></blockquote><div><br></div><div>Assuming your ZIP file is coming from the untrusted Internet, indeed.</div><div>Again, this is the same assumption that you are grabbing some important</div><div>data from someone you can't trust.</div></div></div></span></blockquote><div>No software you run on your computer grabs data from someone you don't trust</div><div>and it all validates that even though you trust them they haven't been exploited?</div><div><br></div><div>Like I said these sort of things are often caused by chaining several unrelated</div><div>things together.</div><blockquote type="cite" style="border-left-style:solid;border-width:1px;margin-left:0px;padding-left:10px;"><span><div><div><div><br></div><div>Just because you are living in a Web-centric world doesn't mean</div><div>everyone does. There are a lot of use cases which are not impacted by</div><div>your security rules. Bugfix releases shouldn't break those use cases,</div><div>which means the security features should be mostly opt-in for 2.7 and</div><div>3.3.</div><div><br></div><div>Regards</div><div><br></div><div>Antoine.</div><div>_______________________________________________</div><div>Python-Dev mailing list</div><div><a href="mailto:Python-Dev@python.org">Python-Dev@python.org</a></div><div><a href="http://mail.python.org/mailman/listinfo/python-dev">http://mail.python.org/mailman/listinfo/python-dev</a></div><div>Unsubscribe: <a href="http://mail.python.org/mailman/options/python-dev/donald.stufft%40gmail.com">http://mail.python.org/mailman/options/python-dev/donald.stufft%40gmail.com</a></div></div></div></span>
                 
                 
                 
                 
                </blockquote>
                 
                <div>
                    <br>
                </div>