DFN-CERT-2016-1194 Autobahn|Python: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

DFN-CERT-2016-1194 Autobahn|Python: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Autobahn|Python 0.10.9

Betroffene Plattformen:

Red Hat Fedora 24

Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer
speziell präparierten Anfrage mehr Quellen (Origins) als vorgesehen für die
Anfrage zulassen und damit Sicherheitsvorkehrungen umgehen.

Für Fedora 24 steht ein Sicherheitsupdate in Form des Pakets
python-autobahn-0.10.9-1.gitcf10233.fc24 im Status ‘testing’ bereit.

Patch:

Fedora Security Update FEDORA-2016-acda4281c9 (Fedora 24,
python-autobahn-0.10.9-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-acda4281c9

AUTOBAHN-PYTHON-GH-ISSUE-691: Schwachstelle in Autobahn|Python ermöglicht
Umgehen von Sicherheitsvorkehrungen

Die Kopfdaten einer Anfrage werden nicht ausreichend geprüft, wenn ein Wert
für ‘allowedOrigins’ gesetzt ist, da unter anderem der reguläre Ausdruck für
erlaubte Quellen (Origins) an der falschen Stelle im Programmcode geprüft
wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1194/

Fedora Security Update FEDORA-2016-acda4281c9 (Fedora 24,
python-autobahn-0.10.9-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-acda4281c9

Autobahn|Python Github Issue #691:
https://github.com/crossbario/autobahn-python/issues/691

Red Hat Bug 1359791:
https://bugzilla.redhat.com/show_bug.cgi?id=1359791

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben