Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Python

Betroffene Plattformen:

openSUSE 12.3

Durch zwei Schwachstellen in Python kann ein entfernter, nicht
authentifizierter Angreifer Denial-of-Service-Angriffe durchführen, den
Quellcode von CGI Skripten ausspähen oder beliebige CGI Skripte zur
Ausführung bringen.

Patch:

openSUSE Security Update: openSUSE-SU-2014:1070-1

http://lists.opensuse.org/opensuse-updates/2014-08/msg00046.html

CVE-2014-4650: Schwachstelle in Python

Ein Schwachstelle im CGIHTTPServer Modul von Python ermöglicht es einem
entfernten, nicht authentifizierten Angreifer den Quellcode von CGI Skripten
auszuspähen oder beliebige CGI Skripte auszuführen. Das Modul verarbeitet
URL-kodierte Pfad Separatoren in URLs nicht korrekt.

CVE-2013-2099: Fehler bei Verarbeitung von Wildcards in Zertifikaten

In Python werden ‘*’-Wildcards in Namen bei Zertifikaten nicht richtig
verarbeitet. Einem entfernten Angreifer, dem es gelingt, ein gültiges
Zertifikat mit ‘*’-Wildcards prüfen zu lassen, ist es damit möglich, einen
Denial-of-Service-Angriff (Verbrauch an CPU-Zeit) gegen einen Dienst, der
diese Funktion verwendet, durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1126/

Schwachstelle CVE-2013-2099 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2099

Schwachstelle CVE-2014-4650 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4650

openSUSE Security Update: openSUSE-SU-2014:1070-1:
http://lists.opensuse.org/opensuse-updates/2014-08/msg00046.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.