2021-0682: Python: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen
Historie:
- Version 1 (2021-04-07 12:07)
- Neues Advisory
- Version 2 (2021-04-08 11:20)
- Für Fedora 33 stehen Sicherheitsupdates für 'python3.8' und 'python3.9' auf die jeweils aktuellen Versionen der Versionszweige im Status 'testing' zur Verfügung.
- Version 3 (2021-04-09 11:55)
- Für Fedora 32 stehen ebenfalls Sicherheitsupdates für 'python3.8' und 'python3.9' auf die jeweils aktuellen Versionen im Status 'testing' bereit.
- Version 4 (2021-04-13 10:10)
- Für Fedora 32 steht weiterhin ein Sicherheitsupdate in Form des Pakets 'mingw-python3-3.8.9-1.fc32' im Status 'testing' zur Verfügung.
Betroffene Software
Entwicklung
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Ein Angreifer kann eine Schwachstelle in Python lokal ausnutzen, um Sicherheitsvorkehrungen zu umgehen. Im benachbarten Netzwerk und aus der Ferne kann der Angreifer zwei weitere Schwachstellen ausnutzen, um Informationen auszuspähen. Für den Angriff aus dem benachbarten Netzwerk sind niedrige Privilegien notwendig.
Der Hersteller bestätigt die Schwachstellen und stellt die Versionen 3.9.3 und 3.8.9 zu ihrer Behebung zur Verfügung. Aufgrund einer ABI-Inkompatibilität wurde Version 3.9.3 bereits zurückgezogen und Version 3.9.4 steht bereit.
Die Installationsdateien für WIndows und macOS beinhalten darüber hinaus OpenSSL 1.1.1k, wodurch zwei weitere Schwachstellen adressiert werden, die einem Angreifer aus der Ferne das Umgehen von Sicherheitsvorkehrungen und einen Denial-of-Service (DoS)-Angriff ermöglichen.
Schwachstellen:
CVE-2021-3426
Schwachstelle in Python ermöglicht Ausspähen von InformationenPYTHON-ISSUE-43285
Schwachstelle in Python ermöglicht Ausspähen von InformationenPYTHON-ISSUE-43439
Schwachstelle in Python ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.