Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (14.11.2014):
Für die Distributionen Fedora 19 und Fedora 20 stehen Sicherheitsupdates
in der Form aktualisierter Pakete von
python-pillow-2.0.0-16.gitd1c6db8.fc19, bzw. python-pillow-2.2.1-7.fc20
(im Status “testing”) zur Verfügung, die zusätzlich die Schwachstelle
CVE-2014-3007 beheben, einen aktualisierten Fix für CVE-2014-1932 und
einen Follow-up-Fix für CVE-2014-1933 enthalten und die vorherigen Pakete
python-pillow-2.0.0-15.gitd1c6db8.fc19, bzw. python-pillow-2.2.1-6.fc20
ersetzen.
Version 4 (12.11.2014):
Für die Distributionen Fedora 19 und Fedora 20 stehen Sicherheitsupdates
zur Verfügung.
Version 3 (28.05.2014):
Es stehen nun auch Patches für SUSE Linux Enterprise Server 11 SP3, 11
SP3 für VMware sowie für das Software Development Kit 11 SP3 zur
Verfügung.
Version 2 (02.05.2014):
Es stehen nun auch Patches für OpenSUSE 13.1 sowie 12.3 zur Verfügung.
Version 1 (16.04.2014):
Neues Advisory

Betroffene Software:

Python Pillow 2.3.0
Python
Python Imaging Library <= 1.1.7 Betroffene Plattformen: SuSE SUSE Linux Enterprise Software Development Kit 11 SP3 Enterprise Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 12.10 Canonical Ubuntu Linux 13.10 openSUSE 12.3 openSUSE 13.1 SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware Red Hat Fedora 19 Red Hat Fedora 20 Durch Ausnutzen einer der Schwachstellen in der Python Imaging-Bibliothek (PIL) und Python Pillow kann ein entfernter, nicht authentisierter Angreifer beliebige Befehle ausführen, bzw. durch zwei Schwachstellen ein lokaler, nicht authentifizierter Angreifer unsichere temporäre Dateien erzeugen. Patch: Ubuntu Security Notice USN-2168-1 http://www.ubuntu.com/usn/usn-2168-1/

Patch:

openSUSE-SU-2014:0591-1

http://lists.opensuse.org/opensuse-updates/2014-05/msg00002.html

Patch:

SUSE Security Update: SUSE-SU-2014:0705-1

https://www.suse.com/support/update/announcement/2014/suse-su-20140705-1.html

Patch:

Fedora Security Update FEDORA-2014-14742

https://admin.fedoraproject.org/updates/FEDORA-2014-14742/python-pillow-2.0.0-15.gitd1c6db8.fc19

Patch:

Fedora Security Update FEDORA-2014-14775

https://admin.fedoraproject.org/updates/FEDORA-2014-14775/python-pillow-2.2.1-6.fc20

Patch:

Fedora Security Update FEDORA-2014-14883

https://admin.fedoraproject.org/updates/FEDORA-2014-14883/python-pillow-2.2.1-7.fc20

Patch:

Fedora Security Update FEDORA-2014-14980

https://admin.fedoraproject.org/updates/FEDORA-2014-14980/python-pillow-2.0.0-16.gitd1c6db8.fc19

CVE-2014-3007: Schwachstelle in PIL und Pillow erlaubt Ausführen beliebigen
Programmcodes

Eine Schwachstelle wurde in der Python Imaging-Bibliothek (PIL) 1.1.7 und
früher sowie Python Pillow 2.3 festgestellt. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, mittels
Shell-Meta-Zeichen über nicht näher spezifizierte Angriffsvektoren in
Verbindung mit CVE-2014-1932 (möglicherweise über JpegImagePlugin.py), um
beliebige Befehle auszuführen.

CVE-2014-1933: Schwachstelle in Python

Es besteht eine Schwachstelle in der tempfile.mktemp() Funktion in der
Python Imaging-Bibliothek bezügliche des Umgangs mit temporären Dateien. Ein
lokaler, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um unsichere temporäre Dateien zu erzeugen oder unberechtigt
Daten zu lesen.

CVE-2014-1932: Schwachstelle in Python

Es besteht eine Schwachstelle in der tempfile.mktemp() Funktion in der
Python Imaging-Bibliothek bezügliche des Umgangs mit temporären Dateien. Ein
lokaler, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um unsichere temporäre Dateien zu erzeugen oder unberechtigt
Daten zu lesen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0458/

Ubuntu Security Notice USN-2168-1:
http://www.ubuntu.com/usn/usn-2168-1/

Schwachstelle CVE-2014-1932 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1932

Schwachstelle CVE-2014-1933 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1933

openSUSE-SU-2014:0591-1:
http://lists.opensuse.org/opensuse-updates/2014-05/msg00002.html

SUSE Security Update: SUSE-SU-2014:0705-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20140705-1.html

Fedora Security Update FEDORA-2014-14742:
https://admin.fedoraproject.org/updates/FEDORA-2014-14742/python-pillow-2.0.0-15.gitd1c6db8.fc19

Fedora Security Update FEDORA-2014-14775:
https://admin.fedoraproject.org/updates/FEDORA-2014-14775/python-pillow-2.2.1-6.fc20

Fedora Security Update FEDORA-2014-14883:
https://admin.fedoraproject.org/updates/FEDORA-2014-14883/python-pillow-2.2.1-7.fc20

Fedora Security Update FEDORA-2014-14980:
https://admin.fedoraproject.org/updates/FEDORA-2014-14980/python-pillow-2.0.0-16.gitd1c6db8.fc19

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.