DFN-CERT-2015-1189 Python: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][SuSE]

DFN-CERT-2015-1189 Python: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Python <= 2.7.8 Betroffene Plattformen: SUSE Linux Enterprise Workstation Extension 12 SUSE Linux Enterprise Software Development Kit 12 SUSE Linux Enterprise Desktop 12 SUSE Linux Enterprise Server 12 Mehrere Schwachstellen in Python kann ein entfernter, nicht authentifizierter Angreifer ausnutzen, um Informationen auszuspähen, Denial-of-Service-Angriffe durchzuführen oder beliebigen Programmcode zur Ausführung zu bringen. Für SUSE Linux Enterprise 12 stehen für Workstation Extension, Software Development Kit, Server und Desktop Sicherheitsupdates auf die Python-Version 2.7.9 bereit. Patch: SUSE Security Update SUSE-SU-2015:1344-1 https://www.suse.com/support/update/announcement/2015/suse-su-20151344-1.html

CVE-2014-7185: Schwachstelle in Python erlaubt Ausspähen von Informationen

Eine Integer-Überlauf-Schwachstelle wurde in bufferobject.c in Python in den
Versionen vor 2.7.8 festgestellt. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle mittels großer Daten und Offset in einer
“Buffer”-Funktion ausnutzen, um sensible Information aus dem Prozessspeicher
auszulesen.

CVE-2014-4650: Schwachstelle in Python

Ein Schwachstelle im CGIHTTPServer Modul von Python ermöglicht es einem
entfernten, nicht authentifizierten Angreifer den Quellcode von CGI Skripten
auszuspähen oder beliebige CGI Skripte auszuführen. Das Modul verarbeitet
URL-kodierte Pfad Separatoren in URLs nicht korrekt.

CVE-2013-1753: Schwachstelle in Python

Die XMLRPC Client Library von Python beinhaltet eine gzip Funktion für
komprimierte HTTP-Streams. Die gzip_decode() Funktion dekomprimiert
automatisch HTTP-Bodies, die komprimiert sind und mit Accept-Encoding:
x-gzip gesendet werden. Ein bösartiger Server kann einen speziell
gefertigten HTTP-Request senden, der den Arbeitsspeicher übermäßig auslastet
und dadurch einen Denial-of-Service-Zustand bewirkt.

CVE-2013-1752: Python readline-Funktion liest über Zeilenende hinaus

Verschiedene Funktionsaufrufe von readline lesen über das Ende einer
Eingabezeile hinaus. Ein entfernter, nicht authentifizierter Angreifer kann
bei Anwendungen, die die betroffenen Funktionsaufrufe verwenden,
Denial-of-Service-Zustände auslösen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1189/

Schwachstelle CVE-2013-1752 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1752

Schwachstelle CVE-2013-1753 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1753

Schwachstelle CVE-2014-4650 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4650

Schwachstelle CVE-2014-7185 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7185

SUSE Security Update SUSE-SU-2015:1344-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151344-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben