2020-0217: pip, virtualenv: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen
Historie:
- Version 1 (2020-01-31 15:40)
- Neues Advisory
- Version 2 (2020-02-12 10:56)
- Für Fedora EPEL 7 steht ein Sicherheitsupdate in Form des Pakets 'python3-virtualenv-15.1.0-5.el7' im Status 'testing' zur Behebung der Schwachstellen CVE-2018-20060 und CVE-2019-11236 bereit.
- Version 3 (2020-03-18 13:33)
- Für verschiedene Ausprägungen von Red Hat Enterprise Linux 7 stehen Sicherheitsupdates bereit, mit denen die Schwachtellen in 'python-pip' und 'python-virtualenv' adressiert werden. Das Sicherheitsupdate für 'python-pip' adressiert zusätzlich die Schwachstelle CVE-2019-11324 in urllib3, die einem entfernten Angreifer das Umgehen von Sicherheitsvorkehrungen ermöglicht.
- Version 4 (2020-03-19 09:02)
- Für Oracle Linux 7 stehen korrespondierende Sicherheitsupdates für 'python-pip' und 'python-virtualenv' bereit.
- Version 5 (2020-04-29 13:54)
- Für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates zur Behebung der Schwachstellen in 'pip' bereit. Diese Updates werden im Zusammenhang mit der Veröffentlichung von Red Hat Enterprise Linux 8.2 zur Verfügung gestellt.
- Version 6 (2020-05-13 13:47)
- Für die Red Hat Enterprise Linux 7 Produktvarianten for Scientific Computing, Desktop, Workstation und Server stehen erneut Sicherheitsupdates für 'python-pip' bereit, um die aufgeführten Schwachstellen zu adressieren. Weiterhin stehen für diese Produkte neue Sicherheitsupdates für 'python-virtualenv' zur Verfügung, welche die Schwachstellen CVE-2018-18074, CVE-2018-20060 und CVE-2019-11236 beheben.
- Version 7 (2020-05-19 09:10)
- Für Oracle Linux 7 (x86_64) steht ein entsprechendes Sicherheitsupdate für 'python-pip' bereit, um die aufgeführten Schwachstellen zu adressieren. Weiterhin steht für Oracle Linux 7 (x86_64) ein Sicherheitsupdate für 'python-virtualenv' zur Verfügung, welches die Schwachstellen CVE-2018-18074, CVE-2018-20060 und CVE-2019-11236 behebt.
Betroffene Software
Entwicklung
Sicherheit
Betroffene Plattformen
Linux
Oracle
Beschreibung:
Mehrere Schwachstellen in pip ermöglichen einem entfernten Angreifer die Manipulation von Dateien und das Ausspähen von Informationen.
Für Fedora EPEL 7 steht ein Sicherheitsupdate in Form des Pakets 'python-pip-epel-8.1.2-12.el7' im Status 'testing' zur Behebung der Schwachstellen bereit, welches damit das ursprünglich zur Behebung der Schwachstellen in 'urllib3' veröffentlichte Update FEDORA-EPEL-2020-d60f779676 ersetzt, welches in den Status 'obsolete' versetzt wurde.
Schwachstellen:
CVE-2018-18074
Schwachstelle in Python Requests ermöglicht Ausspähen von InformationenCVE-2018-20060
Schwachstelle in python-urllib3 ermöglicht Ausspähen von InformationenCVE-2019-11236
Schwachstelle in python-urllib3 ermöglicht Manipulation von DateienCVE-2019-11324
Schwachstelle in python-urllib3 ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.