2014-0458: Python: Drei Schwachstellen ermöglichen u. a. das Ausführen beliebiger Befehle
Historie:
- Version 1 (2014-04-16 14:35)
- Neues Advisory
- Version 2 (2014-05-02 19:27)
- Es stehen nun auch Patches für OpenSUSE 13.1 sowie 12.3 zur Verfügung.
- Version 3 (2014-05-28 16:25)
- Es stehen nun auch Patches für SUSE Linux Enterprise Server 11 SP3, 11 SP3 für VMware sowie für das Software Development Kit 11 SP3 zur Verfügung.
- Version 4 (2014-11-12 11:01)
- Für die Distributionen Fedora 19 und Fedora 20 stehen Sicherheitsupdates zur Verfügung.
- Version 5 (2014-11-14 12:31)
- Für die Distributionen Fedora 19 und Fedora 20 stehen Sicherheitsupdates in der Form aktualisierter Pakete von python-pillow-2.0.0-16.gitd1c6db8.fc19, bzw. python-pillow-2.2.1-7.fc20 (im Status "testing") zur Verfügung, die zusätzlich die Schwachstelle CVE-2014-3007 beheben, einen aktualisierten Fix für CVE-2014-1932 und einen Follow-up-Fix für CVE-2014-1933 enthalten und die vorherigen Pakete python-pillow-2.0.0-15.gitd1c6db8.fc19, bzw. python-pillow-2.2.1-6.fc20 ersetzen.
Betroffene Software
Entwicklung
Systemsoftware
Betroffene Plattformen
Linux
Beschreibung:
Durch Ausnutzen einer der Schwachstellen in der Python Imaging-Bibliothek (PIL) und Python Pillow kann ein entfernter, nicht authentisierter Angreifer beliebige Befehle ausführen, bzw. durch zwei Schwachstellen ein lokaler, nicht authentifizierter Angreifer unsichere temporäre Dateien erzeugen.
Schwachstellen:
CVE-2014-1932
Schwachstelle in PythonCVE-2014-1933
Schwachstelle in PythonCVE-2014-3007
Schwachstelle in PIL und Pillow erlaubt Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.