DFN-CERT-2016-0030 Python Pygments: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux]

DFN-CERT-2016-0030 Python Pygments: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Python Pygments

Betroffene Plattformen:

Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 15.04
Canonical Ubuntu Linux 15.10

Ein entfernter, nicht authentifizierter Angreifer kann die Schwachstelle
ausnutzen, um durch die Übermittlung einer manipulierten Schriftart-Anfrage
das Programm zum Absturz zu bringen, also einen Denial-of-Service-Zustand zu
bewirken oder, um beliebigen Programmcode zur Ausführung zu bringen.

Für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 15.04 und
Ubuntu 15.10 werden von Canonical Sicherheitsupdates bereitgestellt.

Patch:

Ubuntu Security Notice USN-2862-1

http://www.ubuntu.com/usn/usn-2862-1/

CVE-2015-8557: Schwachstelle in Python Pygments ermöglicht Ausführung
beliebigen Programmcodes

Eine Schwachstelle in Python Pygments in FontManager._get_nix_font_path
beruht auf der fehlerhaften Bereinigung von Zeichenketten (Strings), die für
das Suchen von System Schriftarten (Fonts) verwendet werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0030/

Schwachstelle CVE-2015-8557 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8557

Ubuntu Security Notice USN-2862-1:
http://www.ubuntu.com/usn/usn-2862-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben