2020-1839: Python: Mehrere Schwachstellen ermöglichen u. a. das Ausspähen von Informationen
Historie:
- Version 1 (2020-08-24 13:21)
- Neues Advisory
Betroffene Software
Entwicklung
Betroffene Plattformen
Linux
Beschreibung:
Mehrere Schwachstellen in Python ermöglichen einem entfernten Angreifer das Ausspähen von Informationen. In zwei Fällen nutzt der Angreifer dabei eine speziell präparierte URL und in einem dieser Fälle kann der Angreifer eine Schwachstelle in Sun ZFS Storage Appliance Kit ausnutzen und die komplette Software übernehmen. Zwei weitere Schwachstellen ermöglichen einem entfernten Angreifer das Ausführen eines Denial-of-Service (DoS)-Angriffs. In einem Fall nutzt er dabei speziell präparierte Archive. Zwei Schwachstellen ermöglichen einem ebenso entfernten Angreifer einen CRLF-Injektion-Angriff durchzuführen, um dadurch den HTTP-Header zu manipulieren. Zwei weitere Schwachstellen ermöglichen einem entfernten Angreifer Sicherheitsvorkehrungen zu umgehen.
Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'python2.7' in Version '2.7.13-2+deb9u4' bereit, um die Schwachstelle zu beheben.
Schwachstellen:
CVE-2018-20852
Schwachstelle in Python ermöglicht Ausspähen von InformationenCVE-2019-10160
Schwachstelle in Python ermöglicht Ausspähen von InformationenCVE-2019-16056
Schwachstelle in Python ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-20907
Schwachstelle in Python ermöglicht Denial-of-Service-AngriffCVE-2019-5010
Schwachstelle in Python ermöglicht Denial-of-Service-AngriffCVE-2019-9636
Schwachstelle in Python ermöglicht Ausspähen von InformationenCVE-2019-9740
Schwachstelle in Python ermöglicht CRLF-InjektionCVE-2019-9947
Schwachstelle in Python ermöglicht CRLF-InjektionCVE-2019-9948
Schwachstelle in Python ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.