Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (11.07.2016):
Für Fedora EPEL 7 steht mit dem Paket ‘python34-3.4.3-5.el7’ ein
Sicherheitsudpate für Python 3.4.3 im Status ‘testing’ bereit, um die
Schwachstellen zu beheben.
Version 2 (04.07.2016):
Für Fedora 22, 23 und 24 sowie Fedora EPEL 6 und 7 stehen
Sicherheitsupdates für unterschiedliche Versionszweige von PyPy im Status
‘testing’ zur Verfügung. Die Schwachstelle CVE-2016-5699 betrifft dabei
Fedora EPEL 6 in PyPy 5.0.1 sowie Fedora 22, 23 und 24 in PyPy 2.4.0.
Version 1 (28.06.2016):
Neues Advisory
Betroffene Software:
PyPy
Python 3.4.3
Betroffene Plattformen:
Red Hat Fedora 22
Red Hat Fedora 23
Red Hat Fedora 24
Extra Packages for Red Hat Enterprise Linux 6
Extra Packages for Red Hat Enterprise Linux 7
Zwei Schwachstellen in Python können von einem entfernten, nicht
authentifizierten Angreifer für die Ausführung beliebigen Programmcodes, das
Ausspähen von Informationen und weitere Angriffe ausgenutzt werden.
Für Fedora 23 steht ein Sicherheitsupdate im Status ‘testing’ bereit, um
beide Schwachstellen zu beheben. Das bisherige Sicherheitsudpate
FEDORA-2016-031aa4a6b6 zur Behebung von CVE-2016-0772 befindet sich dadurch
im Status ‘obsolete’.
Patch:
Fedora Security Update FEDORA-2016-ef784cf9f7 (Fedora 23, python3-3.4.3)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-ef784cf9f7
Patch:
Fedora Security Update FEDORA-2016-13be2ee499 (Fedora 24, pypy-5.0.1)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-13be2ee499
Patch:
Fedora Security Update FEDORA-2016-aae6bb9433 (Fedora 23, pypy-4.0.1)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-aae6bb9433
Patch:
Fedora Security Update FEDORA-EPEL-2016-8acc519a65 (Fedora EPEL 7,
pypy-5.0.1)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-8acc519a65
Patch:
Fedora Security Update FEDORA-EPEL-2016-d0e444c5f2 (Fedora EPEL 6,
pypy-5.0.1)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-d0e444c5f2
Patch:
Fedora Security Update FEDORA-2016-34ca5273e9 (Fedora 23, pypy3-2.4.0)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-34ca5273e9
Patch:
Fedora Security Update FEDORA-2016-6c2b74bb96 (Fedora 24, pypy3-2.4.0)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-6c2b74bb96
Patch:
Fedora Security Update FEDORA-2016-b046b56518 (Fedora 22, pypy3-2.4.0)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-b046b56518
Patch:
Fedora Security Update FEDORA-EPEL-2016-767125139f (Fedora EPEL 7,
python34-3.4.3)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-767125139f
CVE-2016-5699: Schwachstelle in Python ermöglicht u.a. die Ausführung
beliebigen Programmcodes
Die Bibliotheken zur Verarbeitung von URLs ‘urllib2’ in Python 2.x und
‘urllib’ in Python 3.x sind durch Protocol Stream Injection-Angriffe über
HTTP verwundbar, da der entsprechende Programmcode Prozent-kodierte Werte
als Teil der Host-Komponente der URL akzeptiert und diese ohne weitere
Validierung in den HTTP-Stream einfügt. Ein entfernter, nicht
authentifizierter Angreifer kann mit Hilfe speziell präparierter URLs, die
von einer internen Python-Anwendung verarbeitet werden, HTTP-Kopfdaten und
beliebige HTTP-Anfragen in den HTTP-Stream einfügen und dadurch Zugriff auf
interne Ressourcen erhalten. In der Folge kann der Angreifer abhängig vom
betroffenen internen Prozess Informationen ausspähen, einen
Denial-of-Service-Zustand auslösen oder beliebigen Programmcode ausführen.
CVE-2016-0772: Schwachstelle in Python ermöglicht Ausspähen von
Informationen
Es existiert eine Schwachstelle in der Python-Bibliothek ‘smtplib’, weil ein
fehlerhafter Verbindungsaufbau mit StartTLS in der Funktion ‘SMTP.starttls’
nicht durch eine Ausnahme (Exception) behandelt wird. Ein entfernter, nicht
authentifizierter Angreifer mit der Möglichkeit, einen Man-in-the-middle
(MitM)-Angriff durchzuführen, kann durch diese Schwachstelle den Befehl
‘STARTTLS’ unterbinden, ohne dabei eine Ausnahme auszulösen, und so den
Aufbau der TLS-Verbindung verhindern. Dadurch ist dieser in der Lage, die
folgende Kommunikation unverschlüsselt mitzulesen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1042/
Schwachstelle CVE-2016-0772 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0772
Schwachstelle CVE-2016-5699 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5699
Fedora Security Update FEDORA-2016-ef784cf9f7 (Fedora 23, python3-3.4.3):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-ef784cf9f7
Fedora Security Update FEDORA-2016-13be2ee499 (Fedora 24, pypy-5.0.1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-13be2ee499
Fedora Security Update FEDORA-2016-aae6bb9433 (Fedora 23, pypy-4.0.1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-aae6bb9433
Fedora Security Update FEDORA-EPEL-2016-8acc519a65 (Fedora EPEL 7, pypy-5.0.1):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-8acc519a65
Fedora Security Update FEDORA-EPEL-2016-d0e444c5f2 (Fedora EPEL 6, pypy-5.0.1):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-d0e444c5f2
Fedora Security Update FEDORA-2016-34ca5273e9 (Fedora 23, pypy3-2.4.0):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-34ca5273e9
Fedora Security Update FEDORA-2016-6c2b74bb96 (Fedora 24, pypy3-2.4.0):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-6c2b74bb96
Fedora Security Update FEDORA-2016-b046b56518 (Fedora 22, pypy3-2.4.0):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-b046b56518
Fedora Security Update FEDORA-EPEL-2016-767125139f (Fedora EPEL 7,
python34-3.4.3):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-767125139f
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
