Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Python 2.7
Python 3.4
Python 3.5

Betroffene Plattformen:

Canonical Ubuntu Linux 12.04 LTS (ESM)
Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 17.04

Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe einer
speziell präparierten Datei beliebigen Programmcode ausführen, da bestimmte
Zeichenketten von Python fehlerhaft kodiert werden.

Canonical stellt für Ubuntu Linux 14.04 LTS, 16.04 LTS und 17.04
Sicherheitsupdates zur Behebung der Schwachstelle in Python 2.7, 3.4 und 3.5
bereit. Das Sicherheitsupdate für Python 2.7 steht auch für Ubuntu Linux
12.04 LTS (ESM) zur Verfügung.

Patch:

Ubuntu Security Notice USN-3496-1

http://www.ubuntu.com/usn/usn-3496-1/

Patch:

Ubuntu Security Notice USN-3496-2

http://www.ubuntu.com/usn/usn-3496-2/

Patch:

Ubuntu Security Notice USN-3496-3

http://www.ubuntu.com/usn/usn-3496-3/

CVE-2017-1000158: Schwachstelle in Python ermöglicht Ausführung beliebigen
Programmcodes

Durch einen Ganzzahlüberlauf in der Funktion ‘PyString_DecodeEscape’
innerhalb von ‘stringobject.c’ in Python 2.7, 3.4 und 3.5 kann ein
Pufferüberlauf auf dem Heap (Heap-based Buffer Overflow) ausgelöst werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2145/

Schwachstelle CVE-2017-1000158 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1000158

Ubuntu Security Notice USN-3496-1:
http://www.ubuntu.com/usn/usn-3496-1/

Ubuntu Security Notice USN-3496-2:
http://www.ubuntu.com/usn/usn-3496-2/

Ubuntu Security Notice USN-3496-3:
http://www.ubuntu.com/usn/usn-3496-3/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.