DFN-CERT

Advisory-Archiv

2017-0080: PyCrypto: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2017-01-17 17:55)
Neues Advisory
Version 2 (2017-01-19 11:14)
Für Fedora 24 und 25 sowie Fedora EPEL 5 und 7 stehen Sicherheitsupdates in Form der Pakete 'python-crypto-2.0.1-6.el5', 'python-crypto-2.6.1-13.el7', 'python-crypto-2.6.1-13.fc24' und 'python-crypto-2.6.1-13.fc25' zur Verfügung. Die Sicherheitsupdates für Fedora 24 und Fedora EPEL 5 befinden sich bereits im Status 'testing', während dieser Status für Fedora 25 und Fedora EPEL 7 erst beantragt ist und die Sicherheitsupdates selbst den Status 'pending' haben.
Version 3 (2017-02-17 10:31)
Canonical stellt für die Distributionen Ubuntu 16.10, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS Sicherheitsupdates zur Behebung der Schwachstelle bereit.
Version 4 (2017-02-20 11:21)
Canonical informiert mittels der Ubuntu Security Notice USN-3199-2 darüber, dass die zuvor mit der Meldung USN-3199-1 veröffentlichte Korrektur des Python Cryptography Toolkits in mehreren Systemen, die das Toolkit nutzen und auf dem Verhalten, das zur Behebung der Schwachstelle geändert wurde, aufbauen, zu Problem geführt hat. Canonical behält den Fix für die Schwachstelle bei, ändert mit diesem Sicherheitsupdate das Verhalten aber derart, dass statt einer Exception nur eine Warnung erzeugt wird. Canonical und kündigt an, dass in zukünftigen Versionen das Werfen der Exception aber wieder eingeführt wird, weshalb die Karenzzeit für etwaig erforderliche Code-Anpassungen genutzt werden sollte.
Version 5 (2017-07-03 15:54)
Für die SUSE Linux Enterprise Server Client Tools (11 SP3, 11 SP4) stehen Sicherheitsupdates zur Behebung der Schwachstelle CVE-2013-7459 bereit.
Version 6 (2017-08-28 18:49)
Canonical veröffentlicht das in der Sicherheitswarnung USN-3199-1 veröffentlichte Sicherheitsupdate für 'python-crypto' jetzt auch für Ubuntu Linux 12.04 LTS (ESM).
Version 7 (2017-09-06 11:32)
Für verschiedene Produkte der Produktlinien SUSE OpenStack Cloud, SUSE Manager, SUSE Linux Enterprise Storage, unterschiedliche SUSE Linux Enterprise Module und die SUSE Container as a Service Platform stehen Sicherheitsupdates für 'python-pycrypto' zur Behebung der Schwachstelle bereit.

Betroffene Software

Entwicklung
Sicherheit
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, wenn der Operationsmodus von außerhalb spezifiziert werden kann, um beliebigen Programmcode auszuführen.

Für openSUSE 13.2 sowie openSUSE Leap 42.1 und openSUSE Leap 42.2 stehen Back-Sicherheitsupdates für 'python-pycrypto' zur Verfügung, um die Schwachstelle zu beheben.

Schwachstellen:

CVE-2013-7459

Schwachstelle in PyCrypto ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.