2019-1288: Python: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2019-06-25 19:48): Neues Advisory
Version 2 (2019-08-07 17:49): Für Red Hat Enterprise Linux 7 stehen Sicherheitsupdates für 'python' bereit. Die Schwachstellen CVE-2019-10160 und CVE-2019-9636 werden nicht referenziert. Die Updates stehen damit unter anderem für die Produktvarianten Red Hat Enterprise Linux for Scientific Computing, Desktop, Server und Workstation in Version 7 zur Verfügung.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe, das Ausspähen von Informationen, die Manipulation des HTTP-Headers durch CRLF-Injektion-Angriffe und das Umgehen von Sicherheitsvorkehrungen, wodurch wiederum Informationen ausgespäht werden können.

Für Debian 8 Jessie (LTS) stehen Sicherheitsupdates für 'python2.7' auf Version 2.7.9-2+deb8u3 und für 'python3.4' auf Version 3.4.2-1+deb8u3 bereit. Für das zuletzt genannte Update werden die Schwachstellen CVE-2019-5010, CVE-2019-9948 und CVE-2019-10160 nicht referenziert.

Mit dem durch DLA-1835-1 für Debian 8 Jessie (LTS) bereitgestellten Patch zur Behebung der Schwachstellen CVE-2019-9740 und CVE-2019-9947 wurde allerdings eine Regression eingeführt, die mit dem Regression Update DLA 1835-2 behoben wird.

Schwachstellen:

CVE-2018-14647

Schwachstelle in Python ermöglicht Denial-of-Service-Angriff

CVE-2019-10160

Schwachstelle in Python ermöglicht Ausspähen von Informationen

CVE-2019-5010

Schwachstelle in Python ermöglicht Denial-of-Service-Angriff

CVE-2019-9636

Schwachstelle in Python ermöglicht Ausspähen von Informationen

CVE-2019-9740

Schwachstelle in Python ermöglicht CRLF-Injektion

CVE-2019-9947