DFN-CERT

Advisory-Archiv

2018-0644: Python: Zwei Schwachstellen ermöglichen verschiedene Denial-of-Service-Angriffe

Historie:

Version 1 (2018-04-09 11:46)
Neues Advisory
Version 2 (2018-08-15 11:53)
Fedora stellt für Fedora EPEL 7 das Paket 'python34-3.4.9-1.el7' im Statuts 'testing' zur Behebung der Schwachstellen zur Verfügung.
Version 3 (2018-09-12 18:04)
Für die SUSE Linux Enterprise Produkte Desktop, Server und Software Development Kit 12 SP3 sowie für SUSE Linux Enterprise Module for Web Scripting 12 stehen Sicherheitsupdates für 'python3' bereit.
Version 4 (2018-09-17 12:04)
Für die Distribution openSUSE Leap 42.3 steht ein Sicherheitsupdate zur Verfügung mit dem zwei Schwachstellen und zwei nicht sicherheitsrelevante Fehler behoben werden.
Version 5 (2018-10-30 17:42)
Red Hat stellt im Rahmen der Veröffentlichung von Red Hat Enterprise Linux 7.6 Sicherheitsupdates bereit, mit denen die Schwachstellen in 'python' behoben werden. Die Updates stehen damit unter anderem für Red Hat Enterprise Linux Desktop, Server und Workstation 7, für Red Hat Enterprise Linux for Scientific Computing 7 und für Red Hat Enterprise Linux for ARM 64 7 bereit.
Version 6 (2018-11-06 16:42)
Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate für 'python' bereit, mit dem die beiden Schwachstellen behoben werden. Zur Mitigation von CVE-2016-2183 (SWEET32) wird zusätzlich die Unterstützung für den Triple Data Encryption Algorithm (TDEA, 3DES) deaktiviert.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Zwei Schwachstellen in Python, die auf ineffizienten regulären Ausdrücken basieren, können von einem entfernten, nicht authentisierten Angreifer ausgenutzt werden, um einen Denial-of-Service-Zustand zu bewirken. Zur erfolgreichen Ausnutzung der Schwachstellen ist eine Benutzerinteraktion erforderlich.

Für Fedora 26 und 27 stehen Sicherheitsupdates in Form von 'python3-3.6.5-1'-, 'python3-docs-3.6.5-1'- und 'python-pip-9.0.3-1'-Paketen zur Behebung der Schwachstellen im Status 'testing' zur Verfügung.

Schwachstellen:

CVE-2018-1060

Schwachstelle in Python ermöglicht Denial-of-Service-Angriff

CVE-2018-1061

Schwachstelle in Python ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.