DFN-CERT-2016-1042 Python: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][Fedora]

DFN-CERT-2016-1042 Python: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Python 3.4.3

Betroffene Plattformen:

Red Hat Fedora 23

Zwei Schwachstellen in Python können von einem entfernten, nicht
authentifizierten Angreifer für die Ausführung beliebigen Programmcodes, das
Ausspähen von Informationen und weitere Angriffe ausgenutzt werden.

Für Fedora 23 steht ein Sicherheitsupdate im Status ‘testing’ bereit, um
beide Schwachstellen zu beheben. Das bisherige Sicherheitsudpate
FEDORA-2016-031aa4a6b6 zur Behebung von CVE-2016-0772 befindet sich dadurch
im Status ‘obsolete’.

Patch:

Fedora Security Update FEDORA-2016-ef784cf9f7 (Fedora 23, python3-3.4.3)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-ef784cf9f7

CVE-2016-5699: Schwachstelle in Python ermöglicht u.a. die Ausführung
beliebigen Programmcodes

Die Bibliotheken zur Verarbeitung von URLs ‘urllib2’ in Python 2.x und
‘urllib’ in Python 3.x sind durch Protocol Stream Injection-Angriffe über
HTTP verwundbar, da der entsprechende Programmcode Prozent-kodierte Werte
als Teil der Host-Komponente der URL akzeptiert und diese ohne weitere
Validierung in den HTTP-Stream einfügt. Ein entfernter, nicht
authentifizierter Angreifer kann mit Hilfe speziell präparierter URLs, die
von einer internen Python-Anwendung verarbeitet werden, HTTP-Kopfdaten und
beliebige HTTP-Anfragen in den HTTP-Stream einfügen und dadurch Zugriff auf
interne Ressourcen erhalten. In der Folge kann der Angreifer abhängig vom
betroffenen internen Prozess Informationen ausspähen, einen
Denial-of-Service-Zustand auslösen oder beliebigen Programmcode ausführen.

CVE-2016-0772: Schwachstelle in Python ermöglicht Ausspähen von
Informationen

Es existiert eine Schwachstelle in der Python-Bibliothek ‘smtplib’, weil ein
fehlerhafter Verbindungsaufbau mit StartTLS in der Funktion ‘SMTP.starttls’
nicht durch eine Ausnahme (Exception) behandelt wird. Ein entfernter, nicht
authentifizierter Angreifer mit der Möglichkeit, einen Man-in-the-middle
(MitM)-Angriff durchzuführen, kann durch diese Schwachstelle den Befehl
‘STARTTLS’ unterbinden, ohne dabei eine Ausnahme auszulösen, und so den
Aufbau der TLS-Verbindung verhindern. Dadurch ist dieser in der Lage, die
folgende Kommunikation unverschlüsselt mitzulesen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1042/

Schwachstelle CVE-2016-0772 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0772

Schwachstelle CVE-2016-5699 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5699

Fedora Security Update FEDORA-2016-ef784cf9f7 (Fedora 23, python3-3.4.3):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-ef784cf9f7

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben