UPDATE: DFN-CERT-2014-1344 python-requests: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen [Linux][Debian]

UPDATE: DFN-CERT-2014-1344 python-requests: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (02.02.2015):
Debian stellt für die Distributionen Wheezy und Jessie Sicherheitsupdates
zur Verfügung.
Version 1 (15.10.2014):
Neues Advisory

Betroffene Software:

Canonical Ubuntu Linux 14.04 Lts

Betroffene Plattformen:

Canonical Ubuntu Linux
Debian Linux 7.7 Wheezy
Debian Linux 8.0 Jessie

Zwei Schwachstellen in python-requests bis Version 2.3.0 ermöglichen einem
entfernten, nicht authentifizierten Angreifer, Anmeldeinformationen von
Benutzern einer Webseite, durch Weiterbenutzung dieser Informationen nach
der Weiterleitung auf eine andere Webseite, auszuspähen.

Patch:

Ubuntu Security Notice USN-2382-1

http://www.ubuntu.com/usn/usn-2382-1/

Patch:

Debian Security Advisory DSA-3146-1

https://www.debian.org/security/2015/dsa-3146

CVE-2014-1830: Schwachstelle in python-requests ermöglicht das Ausspähen von
Informationen

Diese Schwachstelle in python-requests bis Version 2.3.0 hat zur Folge, dass
Anmeldeinformationen nach einem Redirect zu einer weiteren Webseite nochmals
benutzt werden. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um diese Anmeldeinformationen unberechtigterweise
abzugreifen.

CVE-2014-1829: Schwachstelle in python-requests ermöglicht das Ausspähen von
Informationen

Diese Schwachstelle in python-requests bis Version 2.3.0 hat zur Folge, dass
Anmeldeinformationen nach einem Redirect zu einer weiteren Webseite nochmals
benutzt werden. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um diese Anmeldeinformationen unberechtigterweise
abzugreifen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1344/

Ubuntu Security Notice USN-2382-1:
http://www.ubuntu.com/usn/usn-2382-1/

Schwachstelle CVE-2014-1829 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1829

Schwachstelle CVE-2014-1830 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1830

Debian Security Advisory DSA-3146-1:
https://www.debian.org/security/2015/dsa-3146

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben