2019-0565: Python: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe

Historie:

Version 1 (2019-03-21 14:28): Neues Advisory
Version 2 (2019-03-22 12:49): Für Fedora 28 und 29 stehen weitere Sicherheitsupdates in Form der Pakete 'python3-3.6.8-3.fc28' und 'python3-3.7.2-5.fc29' im Status 'testing' bereit, um die Schwachstelle CVE-2019-9636 zu beheben. Für diese Zweige wurden die anderen Schwachstellen bereits mit früheren Sicherheitsupdates behoben, z. B. die Schwachstelle CVE-2019-5010 mit den Sicherheitsupdates FEDORA-2019-6fafd84f5d (Fedora 28, python3-3.6.8-2.fc28) und FEDORA-2019-00870e8bfc (Fedora 29, python3-3.7.2-4.fc29), welche sich im Status 'stable' befinden.
Version 3 (2019-04-09 11:35): Für Fedora EPEL 6 und 7 stehen Sicherheitsupdates in Form der Pakete 'python34-3.4.10-1.el6' und 'python34-3.4.10-1.el7' im Status 'testing' bereit, um die Schwachstellen CVE-2018-14647 (hier neu aufgenommen), CVE-2018-20406 und CVE-2019-5010 zu beheben und Python damit ebenfalls auf Version 3.4.10 zu aktualisieren.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann mehrere Schwachstellen in Python ausnutzen, um Informationen auszuspähen oder verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen.

Für Fedora 28 und 29 stehen jeweils Sicherheitsupdates auf die Python Versionen 3.4.10 und 3.5.7 im Status 'testing' bereit, um die Schwachstellen zu beheben. Die Schwachstelle CVE-2018-1060 und CVE-2018-1061 werden nur für Python 3.5.7 referenziert, obwohl beide Schwachstellen eigentlich mit den Versionen 3.4.9 und 3.5.6 behoben wurden, für die Fedora ebenfalls Sicherheitsupdates veröffentlicht hatte.