Open Source im professionellen Einsatz

DFN-CERT-2017-0275 PyMySQL: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora]

17.02.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

PyMySQL < 0.7.10


Betroffene Plattformen:

Red Hat Fedora 25



Ein entfernter, nicht authentifizierter Angreifer kann einen MySQL-Server so
präparieren, dass er über das 'LOAD_DATA_LOCAL'-Statement beliebige Dateien
vom Klienten ohne dessen Zustimmung einlesen kann.

Für Fedora 25 steht ein Sicherheitsupdate für PyMySQL auf Version 0.7.10 im
Status 'testing' bereit.


Patch:

Fedora Security Update FEDORA-2017-2b0459f416 (Fedora 25,
python-PyMySQL-0.7.10-10.fc25)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-2b0459f416>


PYMYSQL-0-7-10-A: Schwachstelle in PyMySQL ermöglicht Ausspähen von
Informationen

Über das MySQL-Statement 'LOAD_DATA_LOCAL' kann ein Server vom Klienten
spezifizierte Daten einlesen. Dazu muss beim Aufbau der Verbindung zum
Server das Argument 'local_infile' auf 'TRUE' gesetzt werden. Dieses
Argument wird beim Empfang eines 'LOAD_DATA_LOCAL'-Pakets in PyMySQL nicht
geprüft.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-0275/>

Fedora Security Update FEDORA-2017-2b0459f416 (Fedora 25,
python-PyMySQL-0.7.10-10.fc25):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-2b0459f416>

PyMySQL 0.7.10 Changelog:
<https://github.com/PyMySQL/PyMySQL/blob/34de70f120bd6ec99984fe4821b5485014b33c30/CHANGELOG>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 04/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.