2019-0928: Pallets Jinja: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2019-05-09 12:17)

Neues Advisory

Version 2 (2019-05-24 14:36)

Für SUSE Manager Tools 12, SUSE Linux Enterprise Module for Public Cloud 12 und SUSE Linux Enterprise Module for Advanced Systems Management 12 stehen Sicherheitsupdates bereit, um die Schwachstelle zu beheben.

Version 3 (2019-11-27 12:18)

Für Red Hat Enterprise Linux 7.5 Extended Update Support und Red Hat Enterprise Linux EUS Compute Node 7.5 stehen Sicherheitsupdates für 'python-jinja2' zur Behebung dieser Schwachstelle bereit.

Version 4 (2019-12-04 09:21)

Red Hat stellt Sicherheitsupdates für 'python-jinja2' unter anderem für Red Hat Enterprise Linux 7.4 Advanced Update Support und Red Hat Enterprise Linux 7.4 Telco Extended Update Support bereit, um die Schwachstelle zu beheben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein lokaler, einfach authentisierter Angreifer kann die Schwachstelle mit Hilfe von Python Zeichenketten ausnutzen, um aus der Jinja2-Sandbox über die Methode 'str.format()' auszubrechen.

Red Hat veröffentlicht Sicherheitsupdates zur Behebung der Schwachstelle für Red Hat Enterprise Linux 7. Die Updates stehen damit unter anderem für Red Hat Enterprise Linux (RHEL) Desktop, Server und Workstation 7, RHEL Server EUS 7.6, AUS 7.6 und TUS 7.6, RHEL for Scientific Computing 7, RHEL EUS Compute Node 7.6 sowie RHEL for ARM 64 7 bereit. Oracle stellt für Oracle Linux 7 (x86_64) ein Backport Sicherheitsupdate zur Verfügung, um die Schwachstelle zu beheben.

Schwachstellen:

CVE-2016-10745

Schwachstelle in Pallets Jinja ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.