2016-1361: Python: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2016-08-19 18:11)

Neues Advisory

Version 2 (2016-09-09 14:59)

Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Debuginfo in Version 11 SP4 stehen Sicherheitsupdates zur Verfügung. Die Schwachstelle CVE-2016-5636 wird nicht referenziert.

Version 3 (2016-10-27 12:24)

Für die SUSE Linux Enterprise 12 SP1 Produkte Software Development Kit, Server und Desktop sowie für SUSE Linux Enterprise Module for Web Scripting 12 stehen weitere Sicherheitsupdates für Python in der Version 3.4.5 bereit.

Version 4 (2016-11-23 10:44)

Für Ubuntu 12.04 LTS, 14.04 LTS und 16.04 LTS stehen aktualisierte Pakete für Python 2.7, 3.2, 3.4 und 3.5 bereit, um die Schwachstellen zu beheben.

Version 5 (2019-02-04 12:14)

Für SUSE Linux Enterprise Server 12 LTSS steht ein Sicherheitsupdate für Python bereit, mit dem die referenzierten Schwachstellen und zusätzlich die Denial-of-Service-Schwachstelle CVE-2019-5010 behoben werden. Die Schwachstelle CVE-2019-5010 erlaubt unter bestimmten Umständen die Funktionalität zur Verarbeitung von X.509-Zertifikaten mit Hilfe eines speziell präparierten Zertifikats zum Absturz zu bringen. Die Schwachstelle kann über TLS-Verbindungen ausgenutzt werden, wenn die TLS/SSL-Zertifikatsvalidierung deaktiviert ist und die Funktion 'getpeercert' über Programmcode eines Dritten aufgerufen wird oder wenn CAs vertraut wird, welche 'End-Entity'-Zertifikate nicht korrekt validieren.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in Python ermöglichen einem entfernten, nicht authentifizierten Angreifer beliebigen Programmcode aus- und einen Denial-of-Service (DoS)-Angriff durchzuführen, Sicherheitsvorkehrungen zu umgehen sowie Informationen auszuspähen. CVE-2016-1000110 wurde für die durch RFC 3875 Sektion 4.1.18 (The Common Gateway Interface, CGI) bedingte Schwachstelle in Python vergeben ('httpoxy'-Problem).

SUSE stellt für die Linux Enterprise Produkte Workstation Extension, Software Development Kit, Server und Desktop in der Version 12 SP1 Sicherheitsupdates für Python bereit.

Schwachstellen:

CVE-2016-0772

Schwachstelle in Python ermöglicht Ausspähen von Informationen

CVE-2016-1000110

Schwachstelle in Python CGIHandler ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2016-5636

Schwachstelle in Python ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-5699

Schwachstelle in Python ermöglicht u. a. die Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.