2022-1983: Python: Zwei Schwachstellen ermöglichen u. a. das Darstellen falscher Informationen

Historie:

Version 1 (2022-09-08 16:15)

Neues Advisory

Version 2 (2022-09-09 16:35)

Für Fedora 35 stehen Sicherheitsupdates in Form der Pakete 'python3.7-3.7.14-1.fc35' und 'python3.8-3.8.14-1.fc35' im Status 'testing' bereit, womit die Pakete auf die Python Versionen 3.7.14 und 3.8.14 aktualisiert werden.

Version 3 (2022-09-09 17:21)

Für Fedora 36 stehen Sicherheitsupdates in Form der Pakete 'python3.7-3.7.14-1.fc36' und 'python3.8-3.8.14-1.fc36' im Status 'testing' bereit, womit die Pakete auf die Python Versionen 3.7.14 und 3.8.14 aktualisiert werden.

Version 4 (2022-09-12 08:59)

Für Fedora 35 steht das Paket 'python3.10-3.10.7-1.fc35' und für Fedora 36 stehen die Pakete 'python3.9-3.9.14-1.fc36' und 'python3.10-3.10.7-1.fc36' als Sicherheitsupdates im Status 'testing bereit, wodurch Python auf die Versionen 3.10.7 bzw. 3.9.14 aktualisiert wird.

Version 5 (2022-09-14 09:21)

Für Fedora 35 steht ein Sicherheitsupdate in Form des Pakets 'python3.9-3.9.14-1.fc35' im Status 'testing zur Behebung der Schwachstellen bereit, wodurch Python auf die Version 3.9.14 aktualisiert wird.

Version 6 (2022-09-15 10:07)

Für Fedora 36 steht ein Sicherheitsupdate in Form des Pakets 'python3.11-3.11.0~rc2-1.fc36' im Status 'testing' bereit, um die Schwachstellen zu beheben.

Version 7 (2022-09-19 10:07)

Für Fedora 35 steht ein weiteres Sicherheitsupdate in Form des Pakets 'python3.11-3.11.0~rc2-1.fc35 im Status 'testing' bereit, um die Schwachstellen zu beheben.

Version 8 (2022-09-23 14:06)

Für Fedora 35 und Fedora 36 stehen Sicherheitsupdates in Form der Pakete 'python3.6-3.6.15-5.fc35' und 'python3.6-3.6.15-11.fc36' im Status 'testing' zur Behebung der Schwachstelle CVE-2021-28861 bereit. Canonical veröffentlicht für Ubuntu 16.04 (ESM) ein Sicherheitsupdate für 'python3.5' zur Behebung der Schwachstelle CVE-2021-28861.

Version 9 (2022-09-30 17:49)

SUSE Linux Enterprise Desktop 15 SP4, SUSE Linux Enterprise High Performance Computing 15 SP4, SUSE Linux Enterprise Module for Python3 15 SP4, SUSE Linux Enterprise Server 15 SP4, SUSE Linux Enterprise Server for SAP Applications 15 SP4, SUSE Manager Proxy 4.3, SUSE Manager Retail Branch Server 4.3, SUSE Manager Server 4.3 sowie openSUSE Leap 15.4 stehen Sicherheitsupdates für 'python310' zur Behebung der Schwachstellen bereit. Die betroffene Software wird damit auf Version 3.10.7 aktualisiert.

Version 10 (2022-10-04 10:25)

Für SUSE Linux Enterprise Server 12 SP5, SUSE Linux Enterprise Server for SAP Applications 12 SP5 und SUSE Linux Enterprise Software Development Kit 12 SP5 stehen Sicherheitsupdates für 'python36' zur Behebung der Schwachstelle CVE-2021-28861 bereit.

Version 11 (2022-10-04 10:32)

Für SUSE Linux Enterprise Desktop 15 SP3, SUSE Linux Enterprise High Performance Computing 15 SP3, SUSE Linux Enterprise Module for Basesystem 15 SP3, SUSE Linux Enterprise Module for Development Tools 15 SP3, SUSE Linux Enterprise Server 15 SP3, SUSE Linux Enterprise Server for SAP Applications 15 SP3, SUSE Linux Enterprise Storage 7.1, SUSE Manager Proxy 4.2, SUSE Manager Retail Branch Server 4.2 und SUSE Manager Server 4.2 sowie für openSUSE Leap 15.3 und openSUSE Leap 15.4 stehen Sicherheitsupdates für 'python39' zur Behebung der Schwachstellen bereit. Die betroffene Software wird damit auf Version 3.9.14 aktualisiert.

Version 12 (2022-10-04 18:01)

Für SUSE Linux Enterprise High Performance Computing 12, SUSE Linux Enterprise Module for Web Scripting 12, SUSE Linux Enterprise Server 12, 12 SP3, 12 SP4, 12 SP5, 12 SAP, 12 SP3 SAP, 12 SP4 SAP, 12 SP5 SAP, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE Linux Enterprise Desktop 15 SP3, SUSE Linux Enterprise High Performance Computing 15 SP3, SUSE Linux Enterprise Module for Basesystem 15 SP3, SUSE Linux Enterprise Module for Desktop Applications 15 SP3, SUSE Linux Enterprise Module for Python2 15 SP3, SUSE Linux Enterprise Server 15 SP3 und 15 SP3 SAP, SUSE Linux Enterprise Storage 7.1, SUSE Manager Proxy 4.2, SUSE Manager Retail Branch Server 4.2, SUSE Manager Server 4.2, openSUSE Leap 15.3 und openSUSE Leap 15.4 stehen Sicherheitsupdates für 'python3' bzw. 'python' bereit, um die Schwachstelle CVE-2021-28861 zu adressieren.

Version 13 (2022-10-07 12:03)

Für SUSE Linux Enterprise Desktop 15 SP3 und 15 SP4, SUSE Linux Enterprise High Performance Computing 15 SP3 und 15 SP4, SUSE Linux Enterprise Micro 5.2 und 5.3, SUSE Linux Enterprise Module for Basesystem 15 SP3 und 15 SP4, SUSE Linux Enterprise Module for Development Tools 15 SP3 und 15 SP4, SUSE Linux Enterprise Server 15 SP3 und 15 SP4, SUSE Linux Enterprise Server for SAP Applications 15 SP3 und 15 SP4, SUSE Linux Enterprise Storage 7.1, SUSE Manager Proxy 4.2 und 4.3, SUSE Manager Retail Branch Server 4.2 und 4.3, SUSE Manager Server 4.2 und 4.3, openSUSE Leap 15.3 und openSUSE Leap 15.4 sowie openSUSE Leap Micro 5.2 stehen Sicherheitsupdates für 'python3' bereit, um die Schwachstelle CVE-2021-28861 zu adressieren.

Version 14 (2022-10-10 10:25)

Für Fedora 35 und Fedora 36 stehen Sicherheitsupdates in Form der Pakete 'python3.6-3.6.15-6.fc35' und 'python3.6-3.6.15-12.fc36' im Status 'testing' bereit, um auch die Schwachstelle CVE-2020-10735 zu beheben. Die vorangegangenen Sicherheitsupdates FEDORA-2022-a27e239f5a (Fedora 35, python3.6-3.6.15-5.fc35) und FEDORA-2022-a2be4bd5d8 (Fedora 36, python3.6-3.6.15-11.fc36), mit denen die Schwachstelle CVE-2021-28861 adressiert wurde, befinden sich im Status 'stable'.

Version 15 (2022-11-03 10:03)

Für Red Hat Enterprise Linux 9 (x86_64, aarch64), Red Hat Enterprise Linux - Extended Update Support 9.0 (x86_64, aarch64), Red Hat CodeReady Linux Builder 9 (x86_64, aarch64), Red Hat CodeReady Linux Builder - Extended Update Support 9.0 (x86_64, aarch64) sowie Red Hat Enterprise Linux Server - 4 years of updates 9.0 (aarch64) stehen Sicherheitsupdates für 'python3.9' bereit, um die Schwachstelle CVE-2020-10735 zu beheben. Für Oracle Linux 9 (aarch64, x86_64) stehen korrespondierende Sicherheitsupdates für 'python3.9' zur Verfügung.

Betroffene Software

Entwicklung

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
Container

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Der Hersteller stellt Python 3.7.14, 3.8.14, 3.9.14 und 3.10.7 zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2020-10735

Schwachstelle in Python ermöglicht Denial-of-Service-Angriff

CVE-2021-28861

Schwachstelle in Python ermöglicht Darstellen falscher Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.