DFN-CERT-2015-1737 cryptography: Eine Schwachstelle ermöglicht nicht spezifizierte Angriffe [Linux][Fedora]

DFN-CERT-2015-1737 cryptography: Eine Schwachstelle ermöglicht nicht spezifizierte Angriffe [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

cryptography <= 1.0.1 Betroffene Plattformen: Red Hat Fedora 23 Ein Angreifer kann diese Schwachstelle ausnutzen, um nicht spezifizierte Angriffe durchzuführen. Für die Fedora Distribution 23 steht ein Sicherheitsupdate im Status 'testing' zur Verfügung, um diese Schwachstelle zu schließen. Patch: Fedora Security Update FEDORA-2015-ac07ff875b (Fedora 23) https://bodhi.fedoraproject.org/updates/FEDORA-2015-ac07ff875b

Red Hat Bug ID 1267548: Schwachstelle in cryptography ermöglicht nicht
spezifizierte Angriffe

Das OpenSSL Backend vor der Version 1.0.2 nutzte in einer exzessiven Weise
Abbruchbedingungen (assertions), um ankommende Antworten zu testen. Wenn
Python mit der Option ‘-O’ ausgeführt wird, werden diese Bedingungen
aufgrund der Optimierung entfernt. Im Falle, dass ein Benutzer Python mit
diesem Flag ausführt und eine ungültige Antwort erhält, kann dies zu einem
nicht bestimmbaren Verhalten der Applikation führen oder schlimmeres.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1737/

Fedora Security Update FEDORA-2015-ac07ff875b (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-ac07ff875b

Red Hat Bug ID 1267548:
https://bugzilla.redhat.com/show_bug.cgi?id=1267548

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben