2018-1420: Python Cryptography Modul: Eine Schwachstelle ermöglicht u. a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2018-07-20 14:32)

Neues Advisory

Version 2 (2018-07-24 11:30)

Canonical stellt für Ubuntu 18.04 LTS ein Sicherheitsupdate bereit, mit dem die Schwachstelle in 'python-cryptography' behoben wird.

Version 3 (2018-10-25 12:45)

Für SUSE Linux Enterprise Module for Basesystem 15 steht ein Sicherheitsupdate für 'python-cryptography' zur Verfügung, um die Schwachstelle zu beheben.

Version 4 (2018-10-26 11:10)

openSUSE stellt für die Distribution openSUSE Leap 15.0 ein Sicherheitsupdate für 'python-cryptography' zur Verfügung, um die Schwachstelle zu beheben.

Version 5 (2018-10-30 11:54)

Für SUSE OpenStack Cloud 8 und OpenStack Cloud Crowbar 8 stehen Sicherheitsupdates für 'python-cryptography' bereit.

Version 6 (2018-11-14 14:04)

Für Red Hat OpenStack Platform 13.0 (Queens) stehen Sicherheitsupdates für 'python-cryptography' bereit.

Version 7 (2020-03-26 10:05)

Für SUSE OpenStack Cloud 6 LTSS, 7 und 8, SUSE OpenStack Cloud Crowbar 8, die SUSE Linux Enterprise Produkte Server for SAP 12 SP1, 12 SP2 und 12 SP3, Server 12 SP1 LTSS, 12 SP2 BCL / LTSS, 12 SP3 BCL / LTSS, 12 SP4 und 12 SP5, Storage 5 sowie SUSE Container-as-a-Service (CaaS) Platform 3.0 stehen Sicherheitsupdates für 'python-cffi', 'python-cryptography' und 'python-xattr' bereit.

Version 8 (2022-11-17 14:44)

Für SUSE Enterprise Storage 7 und 7.1, SUSE Linux Enterprise Desktop 15 SP3, SUSE Linux Enterprise High Performance Computing 15 SP2 ESPOS / LTSS und 15 SP3, SUSE Linux Enterprise Micro 5.1 und 5.2, SUSE Linux Enterprise Module for Basesystem 15 SP3, SUSE Linux Enterprise Module for Python2 15 SP3, SUSE Linux Enterprise Server 15 SP2 BCL / LTSS und 15 SP3, SUSE Linux Enterprise Server for SAP 15 SP2, SUSE Linux Enterprise Server for SAP Applications 15 SP3, SUSE Manager Proxy 4.1 und 4.2, SUSE Manager Retail Branch Server 4.1 und 4.2, SUSE Manager Server 4.1 und 4.2, openSUSE Leap 15.3 sowie openSUSE Leap Micro 5.2 stehen Sicherheitsupdates für 'python-cryptography' und 'python-cryptography-vectors' bereit, um die Schwachstelle zu beheben.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux
Container

Beschreibung:

Ein entfernter Angreifer, welcher in der Lage ist, einen beliebigen Tag an die 'finalize_with_tag'-API zu übergeben, kann Sicherheitsvorkehrungen umgehen und dadurch möglicherweise den geheimen Schlüssel einer verschlüsselten Kommunikation ausspähen.

Für Fedora 27 und 28 stehen Sicherheitsupdates in Form von 'python-cryptography-2.3-1'- und 'python-cryptography-vectors-2.3-1'-Paketen im Status 'testing' zur Behebung der Schwachstelle bereit. Die Entwickler des Moduls stellen das offizielle Release 2.3 zur Verfügung, um die Schwachstelle zur beheben.

Schwachstellen:

CVE-2018-10903

Schwachstelle in Python Cryptography Modul ermöglicht u. a. Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.