2022-2264: Python: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-10-13 19:26): Neues Advisory
Version 2 (2022-10-17 10:23): Für Fedora 36 steht ein Sicherheitsupdate in Form des Pakets 'python3.9-3.9.15-1.fc36' im Status 'testing' bereit, womit dieses auf Python 3.9.15 aktualisiert wird.
Version 3 (2022-10-21 09:10): Für Fedora 36 steht ein Sicherheitsupdate in Form des Pakets 'python3.8-3.8.15-1.fc36' im Status 'testing' bereit, womit dieses auf Python 3.8.15 aktualisiert wird.
Version 4 (2022-10-27 17:23): Für Fedora 35 steht ein Sicherheitsupdate in Form des Pakets 'python3.9-3.9.15-1.fc35' im Status 'testing' bereit, womit dieses auf Python 3.9.15 aktualisiert wird.
Version 5 (2022-11-10 08:49): Für Fedora 36 steht ein Sicherheitsupdate in Form der Pakete 'python3-docs-3.10.8-1.fc36' und 'python3.10-3.10.8-1.fc36' im Status 'testing' bereit, womit dieses auf Python 3.10.8 aktualisiert wird.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Der Hersteller bestätigt die Schwachstellen und stellt die Versionen 3.7.15, 3.8.15, 3.9.15 und 3.10.8 als Sicherheitsupdates bereit.

Für Fedora 35 und 36 stehen die Pakete 'python3.7-3.7.15-1.fc35', 'python3.7-3.7.15-1.fc36' und 'python3.8-3.8.15-1.fc35' im Status 'testing' bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2015-20107

Schwachstelle in Python ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-40674

Schwachstelle in Expat ermöglicht Ausführen beliebigen Programmcodes

PYTHON-ISSUE-GH-96577

Schwachstelle in Python ermöglicht Denial-of-Service-Angriff

PYTHON-ISSUE-GH-97612