2018-0659: Python: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-04-10 14:54)
- Neues Advisory
Betroffene Software
Entwicklung
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in Python und dessen Komponenten ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes und die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe. Eine der Schwachstellen (CVE-2017-11742) betrifft nur Windows-Distributionen. Diese Schwachstelle kann nur von einem entfernten Angreifer ausgenutzt werden, wenn dieser einen Benutzer zur Platzierung zweier Dateien an einer vorgegebenen Stelle verleiten kann.
Die Python Software Foundation hat Python 3.4.8 als Sicherheitsupdate zur Verfügung gestellt. Die hier genannten Schwachstellen in den Komponenten libexpat und zlib sind nur sicherheitsrelevant, wenn die in Python vor Version 3.4.8 gebündelten Bibliotheken benutzt werden.
Für Fedora EPEL 6 steht ebenfalls ein Update auf diese Version im Status 'pending' zur Verfügung. Die hier referenzierte Schwachstelle in Python (CVE-2017-1000158) wurde allerdings schon in einem früheren Sicherheitsupdate (FEDORA-EPEL-2017-0143bce8ee) mit Python 3.4.5 behoben.
Schwachstellen:
CVE-2016-9840
Schwachstelle in zlib ermöglicht u. a. Denial-of-Service-AngriffCVE-2016-9841
Schwachstelle in zlib ermöglicht u. a. Denial-of-Service-AngriffCVE-2016-9842
Schwachstelle in zlib ermöglicht Denial-of-Service-AngriffCVE-2016-9843
Schwachstelle in zlib ermöglicht u. a. Denial-of-Service-AngriffCVE-2017-1000158
Schwachstelle in Python ermöglicht Ausführung beliebigen ProgrammcodesCVE-2017-11742
Schwachstelle in Expat ermöglicht Ausführung beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.