2021-0367: Python: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe

Historie:

Version 1 (2021-02-17 15:56): Neues Advisory
Version 2 (2021-02-18 09:54): Für Fedora 32 und 33 stehen Sicherheitsupdates für 'python3.7' auf Version 3.7.10 im Status 'testing' bereit.
Version 3 (2021-02-22 09:58): Der Hersteller hat nun auch Python 3.8.8 und Python 3.9.2 als Sicherheitsupdates zur Behebung der Schwachstellen veröffentlicht. Für Fedora 32 und 33 stehen Sicherheitsupdates in Form der Pakete 'python39-3.9.2-1.fc32', 'python3-3.8.8-1.fc32', 'python3.8-3.8.8-1.fc33' im Status 'testing' bereit.
Version 4 (2021-02-22 10:22): Für Fedora 33 steht ein Sicherheitsupdate für Python auf Version 3.9.2 im Status 'testing' bereit.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen und Denial-of-Service (DoS)-Angriffe durchzuführen. Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Der Hersteller informiert über die Schwachstellen und stellt Python 3.6.13 sowie 3.7.10 als Sicherheitsupdates zur Verfügung.

Für Fedora 32 und 33 stehen Sicherheitsupdates in Form der Pakete 'python36-3.6.13-1.fc32' und 'python3.6-3.6.13-1.fc33' im Status 'testing' bereit. Hier werden nur die beiden Schwachstellen mit CVE-Bezeichner explizit aufgeführt.

Schwachstellen:

CVE-2021-23336

Schwachstelle in Python ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-3177

Schwachstelle in Python ermöglicht u. a. Denial-of-Service-Angriff

PYTHON-ISSUE-40791

Schwachstelle in Python ermöglicht Ausspähen von Informationen

PYTHON-ISSUE-42051

Schwachstelle in Python ermöglicht Denial-of-Service-Angriff

PYTHON-ISSUE-42103