DFN-CERT-2014-1609 Python: Zwei Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff [Linux][Fedora]

DFN-CERT-2014-1609 Python: Zwei Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Python <= 3.3.2 Betroffene Plattformen: Red Hat Fedora 19 Red Hat Fedora 20 Durch Ausnutzen der Schwachstellen kann sich in dem einen Falle ein lokaler, nicht authentifizierter Angreifer das Laufzeitverhalten zunutze machen und damit Dateien, die mit einem bestimmen Aufruf in Verbindung stehen, lesen oder manipulieren, und in dem anderen Fall ein entfernter, nicht authentisierter Angreifer einen Denial-of-Service (DoS)-Zustand herbeiführen. Für Red Hat Fedora 19 und 20 werden Sicherheitsupdates in Form aktueller Pakete von Python 3.3.2 (im Status "testing") bereitgestellt. Patch: Fedora Security Update FEDORA-2014-16393 https://admin.fedoraproject.org/updates/FEDORA-2014-16393/python3-3.3.2-19.fc20

Patch:

Fedora Security Update FEDORA-2014-16479

https://admin.fedoraproject.org/updates/FEDORA-2014-16479/python3-3.3.2-11.fc19

CVE-2014-2667: Schwachstelle in Python

Es besteht eine Schwachstelle bei der Erzeugung von Dateien mittels der
Funktion “os.makedirs” bzw. “get_masked_mode” bei “wahr” gesetzter
“exist_ok” Variable. Dateien werden hierdurch zunächst mit globalen Lese-
sowie Schreibrechten erzeugt. Ein lokaler, nicht authentifizierter Angreifer
kann sich das Laufzeitverhalten zunutze machen und damit Dateien, die mit
diesem Aufruf in Verbindung stehen, beliebig lesen oder manipulieren.

CVE-2013-7338: CPU-Auslastung durch manipulierte ZIP-Dateien

Durch manipulierte ZIP-Dateien kann es zu einer 100%igen Auslastung der
Prozessorkapazitäten kommen. Ein entfernter, nicht authentisierter Angreifer
kann hierdurch Denial-of-Service-Zustände erreichen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1609/

Schwachstelle CVE-2013-7338 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-7338

Schwachstelle CVE-2014-2667 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2667

Fedora Security Update FEDORA-2014-16393:
https://admin.fedoraproject.org/updates/FEDORA-2014-16393/python3-3.3.2-19.fc20

Fedora Security Update FEDORA-2014-16479:
https://admin.fedoraproject.org/updates/FEDORA-2014-16479/python3-3.3.2-11.fc19

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben