2017-0062: PySAML2: Eine Schwachstelle ermöglicht u.a. das Ausspähen von Informationen

Historie:

Version 1 (2017-01-13 10:46): Neues Advisory
Version 2 (2017-01-23 11:53): Debian benennt nun als Schwachstelle CVE-2016-10149 anstelle von zuvor CVE-2016-10127.
Version 3 (2017-02-28 10:19): Für SUSE OpenStack Cloud 6 steht ein Sicherheitsupdate für 'python-pysaml2' zur Verfügung, mit dem die beiden von Debian im Laufe der Updatehistorie benannten Schwachstellen CVE-2016-10127 und CVE-2016-10149 behoben werden.
Version 4 (2017-04-13 12:19): Red Hat stellt Sicherheitsupdates in Form aktualisierter 'python-defusedxml'- und 'python-pysaml2'-Pakete für die Red Hat OpenStack Platform Versionen 8.0 (Liberty), 9.0 (Mitaka) und 10.0 (Newton) for RHEL 7 bereit, durch welche die Schwachstelle CVE-2016-10149 adressiert wird.
Version 5 (2017-08-24 17:52): Canonical stellt für die Distributionen Ubuntu 17.04 und Ubuntu 16.04 LTS Sicherheitsupdates bereit, um die Schwachstelle CVE-2016-10149 zu beheben.

Betroffene Software

Netzwerk
Sicherheit
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Eine 'XML-External-Entity' (XXE)-Schwachstelle in PySAML2 ermöglicht einem entfernten, nicht authentifizierten Angreifer, vertrauliche Informationen auszuspähen und eventuell weitere, nicht näher spezifizierte Angriffe durchzuführen.

Debian stellt für die stabile Distribution Jessie und die testing Distribution Stretch Sicherheitsupdates in Form der Pakete python-pysaml2 2.0.0-1+deb8u1 bzw. 3.0.0-5 bereit.

Schwachstellen:

CVE-2016-10127

Schwachstelle in PySAML2 ermöglicht u.a. Ausspähen von Informationen

CVE-2016-10149